| Home Themenübersicht / Sitemap Webmaster |
von Philipp Schaumann
Hier die aktuellen Meldungen:
1. Webapplication-Security
--------------------------
Unsere CERT-AT hat uns darauf aufmerksam gemacht:
hier wieder ein nettes Wargame, welches die Basics von
Webapplication-Security behandelt:
http://www.overthewire.org/wargames/natas/
Hier kann man in 16 Levels einige teils knifflige Aufgaben lösen.
Lösungen gibt es unter anderem hier:
http://raidersec.blogspot.co.at/search/label/natas
http://labit.in/eng.php?id=960tpas
http://pastebin.com/k4U8gZY5
2. Costs of tools and activities in the Russian cybercriminal underground
----------------------------------------------------------------------
http://www.net-security.org/secworld.php?id=13884
3. One year after DigiNotar breach, Fox-IT details extent of compromise
----------------------------------------------------------------------
Wie der Angriff auf Diginotar im Detail ablief, wie er intern entdeckt wurde
(durch einen Check der Verwaltungsunterlagen gegen die PKI), und wie
dann der Man-in-the-Middle Angriff im Iran entdeckt wurde (weil Chrome
Certificate Pinning macht). Lessons learned für das System der SSL-Zertifikate.
http://www.computerworld.com/s/article/9233138/One_year_after_DigiNotar_breach_Fox_IT_details_extent_of_compromise
4. SSL-Implementations are very broken
-------------------------------------
Folgende Artikel zeigen dass 80% oder so der Apps die Verschlüsselung falsch
machen, inkl. Bankenapps, Paypal, Amazon Payment Services, etc.)
http://www.cs.utexas.edu/~shmat/shmat_ccs12.pdf
und auch
http://www2.dcsec.uni-hannover.de/files/android/p50-fahl.pdf
Der erste der Artikel gibt sogar Code-Beispiele wie es richtig und wie es falsch ist.
Auch dieser hier:
http://www.thoughtcrime.org/blog/authenticity-is-broken-in-ssl-but-your-app-ha/
5. Microsoft Security Intelligence Report 1H2012
----------------------------------------------
http://www.microsoft.com/security/sir/default.aspx
6. Studie die Zero-Days
----------------------
Untersuchung auf der Basis von öffentlich verfügbaren Daten zu real-world
Exploits (11 Mio Rechner), Verwundbarkeiten und Malware Incidents 2008-2011.
Ergebnis: Sie finden 18 Zero-Days, davon 11 die bisher nicht als Zero-Days erkannt
worden waren (d.h. es war nicht klar, dass der Exploit bereits existierte
als die Verwundbarkeit noch nicht öffentlich bekannt war).
Die Zero-Day Verwundbarkeiten waren im Schnitt 312 Tage ausgenutzt worden, zum Teil
aber bis 2,5 Jahre. Nach der Veröffentlichung explodierten regelmäßig die Angriffe
die auf dieser Verwundbarkeit beruhten.
http://users.ece.cmu.edu/~tdumitra/public_documents/bilge12_zero_day.pdf
7. Windows 8
------------
Sicherheitsprodukte für Privatanwender ist
http://www.av-test.org/tests/heimanwender/windows-8/
für Unternehmen
http://www.av-test.org/tests/unternehmen/windows-8/
Windows 8 security is like a swiss cheese flak jacket - sez AV firm
http://www.theregister.co.uk/2012/11/13/win_defender_inadequate/
Windows 8 is immune to 85 percent of them, and gets infected by 15 percent,
http://news.slashdot.org/story/12/11/10/013246/windows-8-defeats-85-of-malware-detected-in-the-past-6-months
7. Update zu: Daten sind billig, aber so billig ?!?!
----------------------------------------------------
Hier der Deal: "I just bought more than 1 million …Facebook data entries"
Der Preis: 5$
http://talkweb.eu/openweb/1819
Neu: Spekulationen, ob das mit dem FB-Bug zusammenhängend, bei dem
FB URLs verschickt hat, die sofort ohne Authentisierung einloggen:
Facebook Cancels Shortcut Over Concern for Security
https://www.nytimes.com/2012/11/03/technology/facebook-cancels-shortcut-over-concern-for-security.html
8. Etwas more "involved": Sind Reverse Proxies sinnvoll oder nicht?
------------------------------------------------------------------
Die auf komplexen Wegen berechnete Antwort: sie sind sinnvoll wenn ich
nicht sicher bin, ob die Webserver die dahinter stehen wirklich sicher
aufgesetzt sind. Falls diese sicher sind, so erhöht der Proxy die
Angriffsfläche zusätzlich.
http://www.infosecisland.com/documentview/22458-Do-Reverse-Proxies-Provide-Real-Security.html
Humor
-----
Für die junge Generation die nicht erlebt hat, wie die Oldies in den
80igern Spiele gespielt haben, hier eine re-implementierung in grün auf schwarz:
http://eigen.pri.ee/shooter/
Philipp Schaumann, http://sicherheitskultur.at/
Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. 
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.
Zurück zum Archiv-Überblick