| Home Themenübersicht / Sitemap Webmaster |
von Philipp Schaumann
Hier die aktuellen Meldungen:
1. Was passiert im Internet
----------------------
Was wird eigentlich über Ihre Firma auf Twitter so
getwittert? Und welche Gerüchte werden in den Blogs
diskutiert?
Hier die Antwort
http://sicherheitskultur.at/social_engineering.htm#iminternet
2. DNS Security Tutorial
----------------
Recht interessant:
http://www.afnic.fr/data/divers/public/afnic-dns-attacks-security-guide-2009-06.pdf
3. Neu auf der Sicherheitskultur
--------------------------
Erweiterung des Glossars auf 105 Seiten, insbesondere beim
Thema Virtualisierung
http://sicherheitskultur.at/pdfs/Informationssicherheit.pdf
4. Behavioral Response to Phishing Risk
--------------------------
Ein sehr schönes Beispiel für einen Test der Benutzer im
Umgang mit Phishing, der aber auch sehr gute Hinweise darauf
enthält, wie ein Anti-Phishing Training gestaltet werden
könnte/sollte. Es zeigt sich, dass es viel wichtiger ist, ein
technisches Verständnis zu vermitteln, als die Risiken zu
erklären.
http://www.ecrimeresearch.org/2007/proceedings/p37_downs.pdf
Maximising the Effectiveness of Information Security Awareness"
beschreibt gibt eine ganze Reihe von guten Tipps aus dem
Bereich der Psychologie.
http://media.techtarget.com/searchSecurityUK/downloads/RHUL_Stewart_FINALFINAL.pdf
5. Psychologie und Social Engineering
-----------------------------
In England wurde vom UK government's Office of Fair Trading
und Exeter University's psychology department eine
umfangreiche Studie zum Thema "Psychology of being scammed"
erstellt.
Warum fällt jemand auf einen Betrug herein? Sie finden dabei
auch einige Erkenntnisse, die überraschend sind. Die Opfer
von Betrügereien wissen im Schnitt mehr über die betreffende
Materie als die, die nicht darauf hereinfallen und sie
haben auch mehr Gehirnschmalz in die Analyse der Sache
investiert - "gefährliches Halbwissen".
http://www.mindhacks.com/blog/2009/05/the_psychology_of_be.html
Hier der Link zum 260 Seiten Bericht
http://www.eastscotlandfraudforum.org.uk/documents/exeter%20report.pdf
Dazu auf sicherheitskultur:
http://sicherheitskultur.at/social_engineering.htm#scammed
6. OWASP EU09 Poland The Bank in the Browser
--------------------------------
Eine umfangreiche Analyse von Schadsoftware im Bankbereich,
sehr gute Graphiken, ab Slide 50 ein Versuch einer formalen
Darstellung der verschiedenen Angriffsmethoden um durch diese
Analyse die Schwachstellen der Angriffe und damit Verteidungs-
punkte aufzuzeichnen.
http://www.owasp.org/images/e/e4/AppsecEU09_The_Bank_in_The_Browser_Presentation_v1.1.pdf
Sie behandeln dabei auch die noch nicht oft beschriebene Form
"Human Assisted", bei der "Man in the Browser" in Realtime Daten
weitergibt, die der Bankkunde gerade eingegeben hat, so dass
der Angreifer parallel seine eigene Sitzung aufbauen kann.
Dazu auf sicherheitskultur:
http://sicherheitskultur.at/man_in_the-middle.htm#browser
Philipp Schaumann, http://sicherheitskultur.at/
Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. 
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.
Zurück zum Archiv-Überblick