seeseekey.net - Invictus Deus Ex Machina

Exploits (also ein Stück Quell­code zum Aus­nut­zen einer Schwach­stelle) gibt es wie Sand am Meer. Manch­mal möchte man sich einen sol­chen für eine bestimmte Anwen­dung anschauen und tes­ten. An die­sem Punkt kommt die Exploit Data­base ins Spiel, wel­che sich selbst so beschreibt:

The Exploit Data­base (EDB) – an ulti­mate archive of exploits and vul­nera­ble soft­ware. A great resource for pene­tra­tion tes­ters, vul­nera­bi­lity rese­ar­chers, and secu­rity addicts alike. Our aim is to collect exploits from sub­mit­tals and mai­ling lists and con­cen­trate them in one, easy to navi­gate database.

Zur Zeit archi­viert die Exploit Data­base über 30.000 unter­schied­li­che Exploits. Die Exploits auf der Seite sind nach Kate­go­rien sor­tiert und kön­nen auch durch­sucht wer­den. Betrie­ben wird die Seite dabei von der Firma Offen­sive Secu­rity, wel­che unter ande­rem für die Ent­wick­lung von Kali Linux ver­ant­wort­lich ist.

exploit-db.com

Neben der offi­zi­el­len Seite ist die Exploit Data­base auch auf Twit­ter und Face­book zu fin­den.

In der Wiki­pe­dia kann man sich anonym an der Erstel­lung und Ver­bes­se­rung von Arti­keln betei­li­gen. Pro­ble­ma­tisch wird das ganze nur dann wenn bestimmte Inter­es­sen­grup­pen ver­su­chen, einen Arti­kel zu ihren Guns­ten zu beeinflussen.

Der Bun­des­e­dit Twitter-Account

Für einen Fall die­ses Pro­blem gibt es mit Bun­des­e­dit eine Lösung. Dabei han­delt es sich um einen Twitter-Bot wel­cher anonyme Ände­run­gen aus der Wiki­pe­dia, wel­che aus dem Netz des Bun­des gesche­hen sind, twit­tert und sie damit für die Öffent­lich­keit nach­voll­zieh­bar macht. Neben dem Twitter-Account @bundesedit, gibt es mitt­ler­weile auch @euroedit und @landesedit. Die offi­zi­elle Seite des Pro­jek­tes ist unter ande­rem unter bundesedit.de zu finden.

Wenn man in sei­ner WordPress-Installation eine Zwei-Faktor-Authentifizierung nut­zen möchte, so geschieht dies am ein­fachs­ten mit dem Plu­gin „Google Authen­ti­ca­tor for Word­Press“ wel­ches über Plug­in­su­che im Word­Press Backend instal­liert wer­den kann.

Die Ein­stel­lun­gen des „Google Authen­ti­ca­tor for WordPress“

Nach der Instal­la­tion muss das Plu­gin in den Ein­stel­lun­gen akti­viert wer­den. Hier kann auch ein­ge­stellt wer­den ob alle Nut­zer die Zwei-Faktor-Authentifizierung nut­zen müs­sen. In der jewei­li­gen Benut­zer­seite kann anschlie­ßend das Token und der Bar­code für die Authen­ti­fi­zie­rung erstellt wer­den. Das Plu­gin ist dabei unter der GPL3 lizen­ziert — der Quell­text ist auf Git­Hub zu fin­den. Den pas­sen­den Authen­ti­fi­ka­tor gibt es im jewei­li­gen Apps­tore für die gewünschte Plattform.

Google Authenticator
Preis: Kos­ten­los
Google Authenticator
Preis: Kos­ten­los

Wer das ganze nicht mit einer App, son­dern in Form einer HTML5 Anwen­dung nut­zen möchte, kann den Quell­text dafür eben­falls auf Git­Hub bezie­hen.

Wer sich ein­mal anschauen möchte, wie viel er zu Open­Street­Map beige­tra­gen hat, sollte die Web­seite hdyc.neis-one.org besuchen.

Die Aus­wer­tung für den Nut­zer „seeseekey“

Dort kann man sei­nen OpenStreetMap-Nutzernamen ein­ge­ben und bekommt anschlie­ßend eine Aus­wer­tung, der bear­bei­te­ten Flä­che und ande­rer Daten. Auf­ge­wer­tet wird das ganze durch einige hüb­sche Dia­gramme am Ende der Seite.

Wenn man sich bei einem Web­dienst anmel­det, so geschieht das meist mit­tels eines Pass­wor­tes. Das Pro­blem an die­ser Art von Authen­ti­fi­zie­rung ist das man nur mit Hilfe des Pass­wor­tes einen Account über­neh­men kann. Bei der Zwei-Faktor-Authentifizierung läuft das ganze etwas anders. Hier bekommt der Nut­zer zusätz­lich noch ein Token oder muss sich mit­tels einer TAN oder sei­nem Fin­ger­ab­druck identifizieren.

twofactorauth.org

Viele bekannte Web­dienste bie­ten diese Mög­lich­keit der Authen­ti­fi­zie­rung mitt­ler­weile an. Meist bekommt man eine SMS mit dem Code, oder nutzt einen Gene­ra­tor auf sei­nem Smart­phone. Wenn man sich infor­mie­ren möchte, ob der gewünschte Web­dienst eine Zwei-Faktor-Authentifizierung unter­stützt, so sollte man twofactorauth.org besu­chen. Auf der Web­seite ist über­sicht­lich dar­ge­stellt wel­che Dienste eine sol­che Authen­ti­fi­zie­rung anbie­ten und wel­che es pla­nen. Auch ist es mög­lich dem Dienst direkt mit­zu­tei­len, das man sich eine Zwei-Faktor-Authentifizierung wünscht.

Bei Pen­cil han­delt es sich um eine freie 2D-Animationsoftware. Wäh­rend die Soft­ware frü­her nur unter Linux lief, sind mitt­ler­weile auch Ver­sio­nen für Mac OS X und Win­dows erhältlich.

Pen­cil unter Mac OS X

Pen­cil bie­tet dabei Funk­tio­nen für die Ani­ma­tion, das Zeich­nen und den Export. Es ist nicht so mäch­tig wie das eben­falls freie Syn­fig, lässt sich dafür aber wesent­lich ein­fa­cher bedie­nen. Der unter der GPL2 lizen­zierte Quell­text kann auf Git­Hub bezo­gen wer­den. Zu fin­den ist Pen­cil unter pencil-animation.org.

Wenn in einem Pro­gramm ein Feh­ler auf­tritt, so wirft man in der Regel eine Excep­tion (im Deut­schen Aus­nahme genannt). Damit kann der Pro­gram­mie­rer den Feh­ler bear­bei­ten bzw. ent­spre­chend auf ihn rea­gie­ren. Frü­her als es noch keine Excep­ti­ons gab, behielf man sich mit Rück­ga­be­codes. Da gab es halt eine –1 wenn der Datei­zu­griff nicht funk­tio­niert oder eine –2 wenn die Authen­ti­fi­ka­tion fehlschlug.

tweetinvi.codeplex.com/documentation

Diese Rück­ga­be­codes haben aber meh­rere Nach­teile. So muss der Pro­gram­mie­rer den Code immer abfra­gen, ver­gisst er dies wird in der Ver­ar­bei­tung ein­fach wei­ter ver­fah­ren — mit den ent­spre­chen­den Kon­se­quen­zen. Manch­mal gibt es aber Pro­gram­mie­rer, die Nut­zen eine Spra­che wel­che Excep­ti­ons unter­stützt, nur um sie dann in ihrer Biblio­thek in Sta­tus­codes umzu­wan­deln. Die Twit­ter­bi­blio­thek Tweet­invi für C# macht genau dies. Anstatt für ein Pro­blem eine Aus­nahme aus­zu­lö­sen, wird das Pro­blem ver­steckt. Und dann schrei­ben Sie in der Doku­men­ta­tion auch noch, das Sie das nur getan haben um die Ent­wick­lung zu erleich­tern. Das ist wie­der mal ein typi­scher Fall von „Bau­schutt wäh­rend der Ent­wick­lung geraucht“.