→ Kommentar zu „Shellshock“-Lücke bei Apple und Linux — Die erste Angrifsswelle läuft in der Taz.
Es hat keine 2 Tage gedauert, bis der Bug gefixt war. Und jetzt werden gerade auch alle möglichen anderen Teile von Bash auf Herz und Nieren geprüft. Nicht nur von Hobbyisten, sondern auch von Firmen, die Freie Software nutzen und verkaufen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat letztens einen Sicherheitstest vorgestellt, mit dem Leute prüfen können, ob ihre E-Mail-Adressen von dem Identitätsdiebstahl eines Botnetzes betroffen sind. Nehmen wir nun mal an, es gibt Leute beim BSI, die wissen, was sie tun…
Vorraussetzungen: Das BSI hat eine Liste von E-Mail-Adressen von Leuten, deren Rechner Teil des Botnetzes sind. Das Botnetz selbst ist schwer zu finden, aber irgendwie ist die Liste rausgeleaked.
Entwurf eines einfachen Systems um Identitätsdiebstahl durch Übernahme von Login-Accounts zu verhindern: Lade beim Anmelden deinen öffentlichen GnuPG Schlüssel hoch. Wird dein Acount übernommen, weist du deine Identität mit einer signierten E-Mail nach.