Re: [lugbe] Security GAU bei Microsoft

[Mathias Gygax <mg at trash.net>]

On Fre, Mär 23, 2001 at 10:47:56 +0100, Christian Schweingruber wrote:
> Tschou zämä

hoi zaeme,

> habt ihr das schon gelesen?
> 
> http://www.microsoft.com/technet/security/bulletin/MS01-017.asp

snake-oil. siehe auch PGP FAQ.

es gab mal ein activex programm das von m$ signiert war und einfach beim
betreten der homepage ohne nachzufragen den windows kuebel
runtergefahren hat. keine warnung nichts und das war offiziell
von m$ signiert! den user wird's freuen...

die thematik ist nicht neu... das verteilen von zertifikaten hat trotz
krypto immer noch stark mit vertrauen zu tun. von beiden seiten. da
helfen auch monopole wie verisign (internic) und microsoft nichts.

was der kerl gemacht hat ist in cracker kreisen nichts neues. man sagt
dem auch social-engineering. man bringt jemanden dazu etwas rauszugeben
was er eigentlich nicht will, wuerde er seine wahre intention/identitaet
kennen.

kevin mitnick z.b. der FBI-most-wanted cracker war nicht unbedingt fuer
seine technischen skills beruehmt, wohl ehner durch sein
social-engineering. er hat leute angerufen, sich als mitarbeiter xy
ausgegeben und das schwaechste glied, den menschen, fuer seine zwecke 
missbraucht.

die ganzen hoaxes sind ja auch rein nichts anderes als
social-engineering.

wundert mich, dass man von verisign noch nicht die DNS server oder die
BGP routen geknackt hat... monopole haben im internet keine chance,
genausowenig wie monokulturen in der natur. sie werden's lernen...

-- 
"Mine!  Mine!  It's all mine!"
	-- Daffy Duck