| Home Themenübersicht / Sitemap Webmaster |
von Philipp Schaumann
Hier die aktuellen Meldungen:
1. Arbeitgeber-Bewertungen
----------------------
Fortsetzung zu: Wissen Sie, was über Ihre Firma in Netz
gesagt wird?
http://derstandard.at/fs/1252037127780/Bewertungsportale-Wenn-die-Rechnung-im-Netz-steht
Hier einige Bewertungsplatformen:
http://www.kununu.com/
http://arbeitgebercheck.at/
http://www.jobvoting.de/
http://www.kelzen.com/en/
http://evaluba.com/
2. Traditionelles Phishing kommt aus der Mode
-----------------------------------
Offenbar haben die Bemühungen in Richtung iTAN und mTAN die
Kriminellen genug behindert, dass sie sich jetzt auf das Infizieren
von Kundenrechnern konzentrieren, das ist ja auch einfach genug.
Hier die "Top 100 der schmutzigsten Webseiten". Bei den genannten Webseiten
genügt bereits der Besuch von einem verwundbaren Rechner, um sich mit
Schadcode zu infizieren. Bei 52 Prozent der Webseiten handle es sich um
eigentlich harmlose Webauftritte, die jedoch von Betrügern missbraucht
wuerden, um Schadcode zu verbreiten.
http://safeweb.norton.com/dirtysites
Hier die Statistiken zu Phishing:
http://www.heise.de/security/Bericht-Phishing-kommt-aus-der-Mode--/news/meldung/144444
http://www-935.ibm.com/services/us/iss/xforce/trendreports/
3. Secret Questions für Passwort-Rücksetzungen
----------------------------------
Die Studie "It’s no secret - Measuring the security and reliability of
authentication via ‘secret’ questions" (pdf). Wieder geht es um
diese 'secret questions' zur automatisierten Passwort-Rücksetzung.
Hotmail berichtet, dass dies nur bei 43% der Kunden gelingt.
Gleichzeitig zeigen dann Tests im Labor, dass 20% der Teilnehmer
nach 3-6 Monaten die eigenen Antworten vergessen hat, aber immerhin
13% der Fragen auf Grund von Wahrscheinlichkeitsbetrachtungen auch
durch Fremde zu knacken waren und bei 5 möglichen Versuchen zwischen
17 und 39 der (möglicherweise Ex-)Partner die Fragen beantworten konnten.
http://research.microsoft.com/pubs/79594/oakland09.pdf
Siehe auch
http://www.computerworld.com/s/article/9115187/Yahoo_Hotmail_Gmail_all_vulnerable_to_Palin_style_password_reset_hack
oder http://tinyurl.com/yccezhm
http://www.nytimes.com/2008/10/05/business/05digi.html?scp=1&sq=%91user%20name%20and%20password%20do%20not%20match%92?&st=cse oder http://tinyurl.com/y9wa3qf
http://redtape.msnbc.com/2008/08/almost-everyone.html
4. Werbung in eigener Sache
-----------------
Am 9. Okt. referiere ich bei der ARS in Wien zum Thema
Awarenesstraining für IT-Security - Wege zur Einhaltung von
Sicherheitsstandards. Wer sich auf mich beruft erhält
15% Referenten-Rabatt
http://www.ars.at/detail_list.php?senr=23248
5. How to secure and audit Oracle 10g and 11g
-------------------------------------------------------
Auf dieser Website gibt es kostenlos 1 Kapitel aus dem o.g.
Buch. Dieses Kapitel allein ist auch schon recht interessant.
Ab Seite 22 geht es um Data Pseudonymization oder auch
Data Sanatation für Testzwecke. Der Autor erklärt, was man bereits
mit den kostenlosen Oracle Tools tun kann.
http://www.guardium.com/index.php/landing/642
6. SANS top Cyber Security Risks
------------------------------------
Solche Listen sind immer mit etwas Vorsicht zu genießen. An der Veröffentlichung
auf
http://www.sans.org/top-cyber-security-risks
ist aber das Tutorial
http://www.sans.org/top-cyber-security-risks/#tutorial
sehr zu empfehlen. Da geht es um einen recht fortgeschrittenen
Angriff, beginnend von einer Drive-By Infektion die zu einem Angriff auf besser
geschützte Firmensysteme führt.
Philipp Schaumann, http://sicherheitskultur.at/
Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. 
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.
Zurück zum Archiv-Überblick