Schlagwort-Archive: Source code

WordPress: Passworte sollten geändert werden

Veröffentlicht am von
Matt Mullenweg in Milan

Image via Wikipedia

Wer das Internet nutzt, es intensiv nutzt der weiß, hin und wieder soll man seine -für die verschiedensten Dienste benötigten-Passwörter austauschen. Tut man dies nicht… hat man früher oder später möglicherweise ein Problem  und im schlimmsten Fall vieleicht keinen Zugriff auf seine im Netz abgelegten Daten mehr.

WordPress-Betreiber Automattic ist Ziel eines Angriffs geworden, bei dem Hacker Vollzugriff auf mehrere Server bekamen. Im Blog empfiehlt das Unternehmen nun Nutzern, vorsichtig mit ihren Passwörtern zu sein und sie nach Möglichkeit zu wechseln. WordPress.com hostet fast 18 Millionen Blogs.

Gründer Matt Mullenweg schreibt: “Mehrere Server von Automattic wurden auf dem Root-Level angegriffen, und alle Daten auf diesen Servern könnten eingesehen worden sein.” Das betreffe auch den Quelltext, der aber ohnehin größtenteils Open Source ist.

Die auf den Servern gespeicherten Anwenderpasswörter waren verschlüsselt. Mullenweg schreibt, man setze Hashfunktionen und Salts ein, um Angreifern wie diesen das Leben zu erschweren. Die Passwörter werden also nicht nur verschlüsselt, sondern auch zerstückelt und um sinnlose, aber für Fremde nicht leicht unterscheidbare Zusätze angereichert. Dennoch sollten Anwender starke Passwörter verwenden und nicht das gleiche Passwort auf mehreren Websites nutzen.

Das Unternehmen untersucht nun die Lücke und versucht, die “für den Zugang genutzten Wege” wieder sicher zu machen, wie Mullenweg es ausdrückt.

Erst im März hatte es einen großen Angriff auf WordPress gegeben. Damals wurden etliche dort gehostete Blogs von einem Denial-of-Service-Angriff getroffen.

Quelle: ZDNet.de

Related Articles

Gehackte Version der Anti-Beweissicherungssoftware DECAF verfügbar

Veröffentlicht am von

Das Original verhindert zwar den Einsatz von forensischer Software, telefoniert aber nach Hause. Auch die gehackte Version bietet kaum Schutz für Verdächtige. Zukünftige Weiterentwicklungen sollen aus der Beweissicherungssoftware COFEE eine Beweisvernichtungsmaschine machen.

Die Website SoldierX bietet eine gehackte Version der Anti-Schnüffelsoftware “Detect and Eliminate Computer Assisted Forensics” (DECAF) an. DECAF ist ein Utility, die den Einsatz von Microsofts Beweissicherungstool “Computer Online Forensic Evidence Extractor” (COFEE) durch Polizeibeamte vor Ort verhindert.

Happy holidays everybody! As part one of our holiday releases, we have hacked and re-enabled the popular DECAF tool that was mentioned in our previous news post. We were in full support of the application until we learned that it phoned home and that it could be remotely disabled by the authors. Unfortunately they decided to disable it a few days ago on account of Jesus. The original message can be viewed…

Die Betreiber von SoldierX fanden heraus, dass DECAF zwar den Einsatz von COFEE unterbindet und darüber hinaus temporäre sowie andere grundsätzlich “verdächtige” Dateien löscht, beispielsweise Bittorrent-Clients, jedoch zahlreiche Informationen “nach Hause telefoniert” und zudem von außen deaktiviert werden kann. Die gehackte Version ist nach Angaben von SoldierX von diesen unerwünschten Funktionen befreit.

COFEE ist eine Software, die Microsoft kostenlos an Polizeibehörden verteilt. Sie befindet sich auf einem USB-Stick und kann von Beamten mit sehr geringen IT-Kenntnissen eingesetzt werden. Sie dient vor allem dazu, die Informationen im Hauptspeicher und den aktuellen Bildschirminhalt zu sichern, die nach einem Ausschalten des Computers nicht mehr verfügbar sind.

Der Einsatz lohnt sich für die Ermittlungsbehörden in der Regel nur zusammen mit einer nachfolgenden Beschlagnahmung des Rechners. Der Nutzen von DECAF ist daher in der aktuellen Version für den Verdächtigen gering.

Allerdings gibt es bereits Überlegungen, DECAF so weiterzuentwickeln, dass bei der Erkennung einer COFEE-Nutzung bestimmte Verzeichnisse wie C:\TOP-SECRET automatisch durch mehrfaches physisches Überschreiben gelöscht werden. Dann wird die Beweissicherungssoftware ohne Wissen der Beamten zur Beweisvernichtungsmaschine.

Related Articles

Reblog this post [with Zemanta]