Kleine Randnotiz und Hinweis für diejenigen, die auch eine Alternative für Thawte suchen – zur Erinnerung: Die kostenlosen E-Mail-Zertifikate bzw. der Dienst dafür läuft in wenigen Tagen ab.
Eine Alternative ist TrustCenter mit seinem Angebot TC Internet ID. Auch dies ist ein E-Mail-Adressen basiertes und kostenloses Zertifikat – und dieses PKI-Zertifikat ist auch beim “Rest” installiert und bekannt.
Feb 19
Dez 31
Der “Hackerkongress” ist zu Ende, und es gab ein paar interessante Vorträge.
Da ich selber vor einem halben Jahr einen Vortrag über PKI-Grundlagen in meinem WPF “IT-Sicherheit”, war natürlich der Vortrag über die MD5-Kollision bei einer Zertifikatsanfrage interessant. In Kürze: Die Hackergruppe hat erfolgreich ein CA-Zertifikat erhalten! Weitere Stichworte: 200 PlayStations, 4 Fehlversuche, 600 Dollar. 
(Links: heise online, torrent video, homepage).
Ein anderer netter Vortrag ging um die forensiche Analyse von Arbeitsspeicher – im ausgeschalteten Zustand (cold boot attacks). Sehr interessant, und am Ende mit ein paar Holloywoodtrickswitzen garniert (torrent video).
Heise schießt den Vogel ab – pünktlich zum Freitag der Woche. Was für ein scheißschlechter Artikel.
Ich will Niveau, Heise!
Es sind wohl immer noch nicht alle DNS-Server gepatched; Sicherheitschecks hin und her, manche Provider scheinen das nicht ganz ernst zu nehmen. Der Dumme ist auf jeden Fall der Anwender.
Wie bereits im Heise-Artikel (Link siehe oben) erwähnt, gibt es nun auch ein paar Downloads zum “Selber-DNS-faken” – wie praktisch!
Viel interessanter finde ich bei dem Exploit aber das begleitende Video – das ist schon erschrecken. Mit dem “Baukasten” können auch Unversierte schnell viel Unfug bauen..
Wer kennt sie nicht: Diese kleinen Plagegeister, bestehend aus Zahlen und Buchstaben, mal klein, mal groß. In den unterschiedlichsten Farben und Formen, meist noch durchlöchert mit Pfeilchen und Linien, Kreisen und anderen geometrischen Verrenkungen. Alles nur dafür, dass ein intelligentes Computerprogrämmchen den Dienst/Download/Such-es-dir-aus nur von Menschen genutzt werden kann – naja, wenn die dann das auch noch lesen können.
Ich will ja nicht sagen, dass ich schlechte Augen habe, ganz im Gegenteil. Aber was da manchmal von einem verlangt wird, ist eine Mutmaßung.
Wem das aber noch nicht reicht – oder schon reicht: Hier gibt es Ãœberlegungen, das ganze noch ein paar Level krasser zu machen.
Einfach mal durchlesen, und messen wie lange man dafür braucht.
