Olivetti
Aktives Mitglied
- Dabei seit
- 09.12.2005
- Beiträge
- 11.692
- Reaktionspunkte
- 4.076
und in der regel wird doch vom entdecker veröffentlicht, wie die lücken wirken.
Madcat
Aktives Mitglied
- Dabei seit
- 01.02.2004
- Beiträge
- 20.628
- Reaktionspunkte
- 8.534
Und welche genau? Ich würde mir gerne mal die ein und andere Sicherheitslücke Live und in Farbe anschaun, dazu findet man aber praktisch nie was.
H
Hausbesetzer
Aktives Mitglied
- Dabei seit
- 10.09.2008
- Beiträge
- 10.816
- Reaktionspunkte
- 2.834
Da steht auch, dass die Apple übergeben wurde und das Preisgeld an die Autoren ging. fertig.Und welche genau? Ich würde mir gerne mal die ein und andere Sicherheitslücke Live und in Farbe anschaun, dazu findet man aber praktisch nie was.
Wenn Du die alle sehen willst, musst Du dich schon etwas bemühen. Abboniere eine einschlägige Mailinglist.
Die, die auf dem Schwarzmarkt gehandelt werden, musst Du halt kaufen, aber das ist ja wohl klar.
kermitd
Aktives Mitglied
- Dabei seit
- 16.02.2006
- Beiträge
- 7.185
- Reaktionspunkte
- 2.621
Wobei mir zumindest kein einziger Fall zu Ohren gekommen ist, in dem "KeRanger" Schaden angerichtet hat. Ist ja auch nicht zu verachten
kermitd
Aktives Mitglied
- Dabei seit
- 16.02.2006
- Beiträge
- 7.185
- Reaktionspunkte
- 2.621
Zusätzlicher Schutz ist bspw. das Sandboxing von (Mac) Office 2016
maba_de
Aktives Mitglied
- Dabei seit
- 15.12.2003
- Beiträge
- 20.485
- Reaktionspunkte
- 12.419
wie wäre es, wenn du dir die bekannten und gefixten Sicherheitslücken mal ansiehst?Und welche genau? Ich würde mir gerne mal die ein und andere Sicherheitslücke Live und in Farbe anschaun, dazu findet man aber praktisch nie was.
Besonders die, in denen Stichworte wie privilege escalation etc. vorkommen.
Z.B. hier: Apple Mac Os X : List of security vulnerabilities
Wenn man dann sieht, welche Lücken selbst aktuelle Systeme hatten und was man damit anstellen konnte, dann braucht man nicht sooooo viel Phantasie, um zu wissen, das viele Lücken schlicht nicht kommuniziert werden sondern von entsprechenden Quellen ausgenutzt werden. Und das sind oft Fälle, bei denen die Geschädigten gar nicht wissen, das sie geschädigt wurden (Industriespionage etc.).
jupp
kermitd
Aktives Mitglied
- Dabei seit
- 16.02.2006
- Beiträge
- 7.185
- Reaktionspunkte
- 2.621
Was Krankenhäuser etc. angeht verstehe ich nicht, warum sie nicht die Möglichkeit nutzen, die Ausführung Makro-enthaltender Dokumente auf einzelne Ordner im Netzwerk zu beschränken, und eben nicht bei jedem x-beliebigen eMail-Anhang zuzulassen. Vielleicht führt die aktuelle Welle da ja zu einem Umdenken, auch wenn Makro-Schaddokumente ja eigentlich kein neues Thema sind.
H
Hausbesetzer
Aktives Mitglied
- Dabei seit
- 10.09.2008
- Beiträge
- 10.816
- Reaktionspunkte
- 2.834
Weil Dir nach 2 Wochen 90% aller Mitarbeiter mit dem nackten Arsch ins Gesicht gesprungen sind und danach Dein Chef kommt und Dich anweist das zu tun, weil sie angefangen haben, Ihm mit nacktem Arsch ins Gesicht zu springen
B
Buckyball60
Aktives Mitglied
- Dabei seit
- 13.10.2011
- Beiträge
- 1.091
- Reaktionspunkte
- 260
Liegt wohl an Deinen Ohren.
kermitd
Aktives Mitglied
- Dabei seit
- 16.02.2006
- Beiträge
- 7.185
- Reaktionspunkte
- 2.621
Wenn Du anderweitige Informationen hast, lass uns an Deinem Wissen/Quellen teilhaben.
MacEnroe
Aktives Mitglied
- Dabei seit
- 10.02.2004
- Beiträge
- 23.491
- Reaktionspunkte
- 7.481
Nicht so phantasielos, bitte.
Es gibt ein Menge Möglichkeiten, Sicherheiten einzubauen.Hier wäre zum Beispiel eine Lösung:
Madcat
Aktives Mitglied
- Dabei seit
- 01.02.2004
- Beiträge
- 20.628
- Reaktionspunkte
- 8.534
Eine Auflistung der Sicherheitslücken…schön…wie sie wirken/wie man sie nutzen kann steht da aber auch nicht…man muss also auch da ein Stück weit dem "glauben" was da steht. Nicht falsch verstehen, ich glaub auch gerne, dass es die Lücken gibt. Ich würde nur gern selbst mal sehen wie die wirken und nicht nur eine Beschreibung dazu lesen nur dazu findet man praktisch nichts.
Olivetti
Aktives Mitglied
- Dabei seit
- 09.12.2005
- Beiträge
- 11.692
- Reaktionspunkte
- 4.076
schau dir den an: Schöner Beitrag "how to hack OS X by abusing vulnerable application"
oder shellshock (hat ja sogar einen wikieintrag bekommen).
oder shellshock (hat ja sogar einen wikieintrag bekommen).
H
Hausbesetzer
Aktives Mitglied
- Dabei seit
- 10.09.2008
- Beiträge
- 10.816
- Reaktionspunkte
- 2.834
Das Internet ist voll davon, halt nicht bei Macuser. Und es ist auch nicht "Deppenfreundlich" mit Bildern und Animationen gemacht, sondern einfach nur technische Detailberichte, die Du wahrscheinlich einfach nicht verstanden hast und daher denkst, dass Du nix findestnicht nur eine Beschreibung dazu lesen nur dazu findet man praktisch nichts.
Madcat
Aktives Mitglied
- Dabei seit
- 01.02.2004
- Beiträge
- 20.628
- Reaktionspunkte
- 8.534
Das was ich gefunden habe brauchte immer die Hilfe des User, z.B. Shellshock (das Script muss schon irgendwie auf den Server kommen) und da hab ich immer das Problem mit darin eine echte Sicherheitslücke zu sehen. Wenn ich jemanden dazu bringe mir 10.000 Euro zu überweisen wird wohl auch keine auf die Idee kommen zu sagen die Bank habe eine Sicherheitslücke. Meine Meinung dazu.
Und da, wo keine Hilfe des Users nötig sein soll…dazu findet man schlicht nichts konkretes. Wenn das anders sein sollte und ihr das wisst: Tut euch keinen Zwang an mir das mal zu zeigen, gerne auch via PN. Diese Diskussion kommt immer wieder hier mal auf und immer wieder wenn ich nach konkreten Fakten frage kommt schlicht nicht mehr als "Musste halt mal nach suchen".
Und da, wo keine Hilfe des Users nötig sein soll…dazu findet man schlicht nichts konkretes. Wenn das anders sein sollte und ihr das wisst: Tut euch keinen Zwang an mir das mal zu zeigen, gerne auch via PN. Diese Diskussion kommt immer wieder hier mal auf und immer wieder wenn ich nach konkreten Fakten frage kommt schlicht nicht mehr als "Musste halt mal nach suchen".
H
Hausbesetzer
Aktives Mitglied
- Dabei seit
- 10.09.2008
- Beiträge
- 10.816
- Reaktionspunkte
- 2.834
DU willst es doch wissen, da kann man doch erwarten, dass DU Dich etwas damit beschäftigst.
Nebenbei wurden hier schon Quellen aufgezeigt (Bugtraq) - aber Du musst halt bedenken, Du wirst das alles nicht verstehen, wenn Du nicht ein fundamentales IT Hintergrundwissen hast (OSI, ipv4, tcp usw).
maba_de
Aktives Mitglied
- Dabei seit
- 15.12.2003
- Beiträge
- 20.485
- Reaktionspunkte
- 12.419
das Problem ist folgendes:Eine Auflistung der Sicherheitslücken…schön…wie sie wirken/wie man sie nutzen kann steht da aber auch nicht…man muss also auch da ein Stück weit dem "glauben" was da steht. Nicht falsch verstehen, ich glaub auch gerne, dass es die Lücken gibt. Ich würde nur gern selbst mal sehen wie die wirken und nicht nur eine Beschreibung dazu lesen nur dazu findet man praktisch nichts.
es gibt die guten Hacker - die melden gefundene Sicherheitslücken den Herstellern und gehen nur dann an die Öffentlichkeit, wenn es gar nicht anders geht (Hersteller reagiert nicht).
Und die Bösen - die nutzen die Sicherheitslücken aus und schützen ihre Entdeckung, denn die bedeutet Geld. Publicity ist das Letzte, was diese Jungs wollen.
Deshalb wird man nur in den seltensten Fällen Videos etc. zu sehen bekommen.
Flapy
Aktives Mitglied
- Dabei seit
- 29.02.2008
- Beiträge
- 1.213
- Reaktionspunkte
- 154
Sicherheit von Betriebssystemen ist immer ein Katz und Maus Spiel.
Entweder man geht den Weg der Updates und des jeweils aktuellsten Systems.
ODER.......
man bleibt bei einem Uralt-System (ca. 5 Jaher alt) - dann dürfte man beim Mac auch sicher sein, weil jene Exploits auf Webseiten (drive by) den Weg allen Ewigen gegangen sein dürfte.
Man kann natürlich auch OS 9 einsetzen!
Bei Systemen die länger am Markt waren wie XP siehts natürlich wieder ganz anders aus. Da würde ich heute noch alles abdichten und mit FireWall, AntiSpyware und AntiVirus hochfahren...
Persönlich hoffe ich, dass OS X so abgedichtet wird wie iOS und man Apps nur noch über den App Store bekommt. Schluss und Fertig. Punkt Aus für Malware.
Entweder man geht den Weg der Updates und des jeweils aktuellsten Systems.
ODER.......
man bleibt bei einem Uralt-System (ca. 5 Jaher alt) - dann dürfte man beim Mac auch sicher sein, weil jene Exploits auf Webseiten (drive by) den Weg allen Ewigen gegangen sein dürfte.
Man kann natürlich auch OS 9 einsetzen!
Bei Systemen die länger am Markt waren wie XP siehts natürlich wieder ganz anders aus. Da würde ich heute noch alles abdichten und mit FireWall, AntiSpyware und AntiVirus hochfahren...
Persönlich hoffe ich, dass OS X so abgedichtet wird wie iOS und man Apps nur noch über den App Store bekommt. Schluss und Fertig. Punkt Aus für Malware.
Madcat
Aktives Mitglied
- Dabei seit
- 01.02.2004
- Beiträge
- 20.628
- Reaktionspunkte
- 8.534
Das habe ich doch. Ich sagte ja, man findet was wo der User mithelfen darf/muss aber so richtige wo der User nicht mithelfen muss außer im Netz zu sein findet man nichts zu.
Auch da ist man fern ab von Konkretisierung.
Ja aber etwas mehr Infos die praktisch über das Höhrensagen hinaus gehen wäre toll
Olivetti
Aktives Mitglied
- Dabei seit
- 09.12.2005
- Beiträge
- 11.692
- Reaktionspunkte
- 4.076
bei shellshock muss der angreifer kein script auf den rechner bringen, es ist ja in der cgi-variante schon vorhanden.
das hast du damals im shellshock thread auch schon nicht verstanden (oder siehe im dortigen #106). du könntest das ganz leicht nachstellen - alte bash, ein cgi erstellen, webserver laufen lassen, fertig.
hast du dir denn wenigstens den sparkle-framework-angriff angeschaut? muss da der user mithelfen?
das hast du damals im shellshock thread auch schon nicht verstanden (oder siehe im dortigen #106). du könntest das ganz leicht nachstellen - alte bash, ein cgi erstellen, webserver laufen lassen, fertig.
hast du dir denn wenigstens den sparkle-framework-angriff angeschaut? muss da der user mithelfen?