Categories

• Kommentare

  no description available

  756
  Topics
  2113
  Posts

  A

  Das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) eröffnet in Darmstadt ein Trainingszentrum für Cybersicherheit. Klicken sie hier um den Artikel zu lesen
• Bedrohungen

  no description available

  119
  Topics
  316
  Posts

  ?

  Ich verstehe bei diesem Thema schon lange einige Dinge nicht mehr. Wo ist der Unterschied zur damaligen DDR-Stasi? Die hatten diese Technik nicht, könnte man sagen. Naja ich halte unserem Staat mal zugute, dass er bisher weder seine Bürger mit IMs bespitzelt hat, noch Leute die anderer Meinung waren im Knast hat verschwinden lassen. Aber gut heißen muss man den sich ankündigenden Überwachungsstaat deswegen nicht. Zumal die Handlungen der Politiker halt einfach zu durchschaubar sind. Da werden aktuelle Gründe konstruiert um uralte Pläne aus der Schublade zu holen und den Überwachungsring um die Bürger noch enger ziehen zu können. Ist das nicht bereits vom BGH gerügt und zurückgewiesen worden? Jein, das BGH hat gesagt, dass es aktuell keine Gesetzesgrundlage gibt, die den Einsatz des Bundestrojaners erlauben würde (http://www.Security-Insider.de/themenbereiche/bedrohungen/viren-wuermer-trojaner/articles/52850/)). Der Staat muss nur die Strafprozessordnung StPO per Gesetz ändern und schon ist der Einsatz nicht mehr Gesetzeswidrig. Das Gesetz kann dann allerhöchstens Verfassungswidrig sein. In Bayern scheint die Gesetzesgrundlage bereits gegeben zu sein. Was ist, wenn sich alle - zumindest privaten - User per Access-Points verbinden, den dieses Vorgehen der Schnüffler ist doch nur unter Ausnutzung der Provider möglich oder ist das auch ein Irrtum? Nö den Trojaner können sie ja auch einfach per Mail verschicken. Dazu braucht's die Provider nicht. Wenn sich alle privaten User per Access-Points verbinden hätten wir nur in 4 Wochen ne gesetzliche Regelung, die jeden privaten Accesspoint die gleichen Auflagen erfüllen läßt wie ein Provider - wenn das Gesetz das nicht eh schon vorsieht. Wie es sei, für mich ein Punkt Bayern zu meiden, auch wenn ich nichts "Böses" plane. Naja man kann sich nur begrenzt aussuchen, wo man lebt und arbeitet. Aber das Gute ist ja, dass es mit Wahlen ein Instrument gibt, mit dem man aktiv was tun kann. Eine Landesregierung die endlich mal keine absolute Mehrheit hätte wäre ja schon ein erster Schritt um solche Sachen schon während der Gesetzgebungsphase zu stoppen, statt immer hinterher mit Gerichten.
• Applikationssicherheit

  no description available

  42
  Topics
  128
  Posts

  ?

  Hallo Jens, das Thema Application Security wird leider bei vielen Software-Herstellern zu wenig beachtet. Am leichtesten bekommt man Informationen über Security Flaws oder Leaks über das Hilfsmittel "Fuzzing". Jetzt ist Fuzzing aber für viele nicht so ein einfaches Thema. Es gibt Fuzzing Frameworks, die man je nach Testfall immer neu zusammen stellen muss. Das Problem hierbei ist, daß a) man schlecht nachvollziehbare Ergebnisse erzeugt, und b) Auditierbarkeit gleich null ist. Es gibt wenige Fuzzing-Tools, die man als voll integriertes Produkt bezeichnen kann, und auch voll auditierbar/nachvollziehbar sind. Man kann diese Tools sowohl im Bereich der Software-Entwicklung, als auch im Bereich der Unternehmens-Security einsetzen. Das beste Beispiel ist hier z.B. Codenomicon www.codenomicon.com und die Codenomicon Labs www.gohackyourself.net. Codenomicon Defensics Tools werden von z.B. T-Systems, Cisco, Microsoft und vielen anderen mittlerweile zum Security-Testing verwendet. Hier mal ein paar Infos und Links zu Meldungen im Netz: Verizon Verizon Communications Integrates Codenomicon's DEFENSICS Robustness Testing Platform Into Its Chest of Armor same? URL: http://findarticles.com/p/articles/mi_pwwi/is_200702/ai_n17169163 One Verizon lab entry criteria mentioning Codenomicon URL: http://www22.verizon.com/technologytesting/files/LEC-TMPL-2006v02.pdf Microsoft Microsoft developer recommending Codenomicon URL: http://forums.microsoft.com/msdn/ShowPost.aspx?PostID=2445846&SiteID=1 URL: http://forums.microsoft.com/msdn/ShowPost.aspx?PostID=2008064&SiteID=1 T-Systems Process-Based Security Testing in a Carrier Environment by Sven Weizenegger, Lead of Security Testing and Senior Consultant, T-Systems and Heikki Kortti, Senior Security Specialist, Codenomicon URL: http://iptcomm.org/iptcomm2008/page15/page15.html NISCC/CESG NISCC/CESG: Codenomicon Test Tools Discover Critical Security Vulnerabilities in Popular Web Browsers Microsoft reference? Certicom URL: http://apache.sys-con.com/node/104846 URL: http://www.microsoft.com/technet/security/bulletin/ms05-025.mspx Apache Apache Credits Codenomicon in Advisory from 2004/2005 URL: http://httpd.apache.org/security/vulnerabilities_20.html OpenSSL OpenSSL Advisories mentioning Codenomicon several times since 2004/2005 URL: http://www.openssl.org/news/vulnerabilities.html GnuTLS Vulnerability Advisory on GnuTLS URL: http://www.cert.fi/haavoittuvuudet/advisory-gnutls.html Cisco Open, public presentation by Gaus and Takanen in SV-SPIN in 2005 Public Cisco brochures/notes mentioning Codenomicon: URL: http://www.cisco.com/en/US/solutions/collateral/ns340/ns414/ns779/aag_cisco_assurewave_v2.pdf URL: http://www.cisco.com/en/US/docs/security/asa/asa70/release/notes/asarn705.pdf (you love it) URL: http://www.cisco.com/en/US/docs/voice_ip_comm/cuipph/7960g_7940g/firmware/sip/7_5/english/release/notes/phnrn75s.pdf URL: http://www.cisco.com/en/US/docs/voice_ip_comm/cuipph/7960g_7940g/firmware/sip/8_2/english/release/notes/phnrn82s.pdf (this is nice too) URL: http://www.cisco.com/en/US/docs/security/csc/csc62/release/notes/cscrn622.pdf URL: http://www.cisco.com/univercd/cc/td/doc/product/software/ios123/123relnt/800/rn4t11a.pdf (nice) URL: http://www.cisco.com/en/US/docs/app_ntwk_services/data_center_app_services/css11500series/v8.20/release/note/RN820_X.pdf (SNMP) URL: http://www.cisco.com/en/US/docs/ios/12_3/12_3y/release/notes/rn1800yg.pdf URL: http://www.cisco.com/en/US/docs/security/fwsm/fwsm32/release/notes/fwsmrn32.pdf URL: http://www.cisco.com/en/US/docs/security/asa/asa72/release/notes/asarn722.pdf (TLS) URL: http://www.cisco.com/en/US/docs/voice_ip_comm/pgw/9/release/note/rn973.pdf (SIP, MGCP,..) NetBSD URL: http://cert.fi/haavoittuvuudet/2008/advisory-netbsd.html VTT Research Security Objectives within a Security Testing Case Study; Nokia URL: http://www.netlab.tkk.fi/opetus/s38310/04-05/Kalvot_04-05/chomchuen_071204.ppt
• Betriebssystemsicherheit

  no description available

  41
  Topics
  105
  Posts

  S

  Hallo, bevor ich zu den Sicherheitsmechanismen komme: Zunächst einmal sollten Sie bedenken, dass es sich bei dem Service Pack 3 um eine Test-Version handelt… erfahrene User sollen also dabei helfen, Bugs und andere Schwachstellen in dem Release Candidate aufzuspüren. Installieren Sie Release Candidates oder Beta-Versionen nie in einer Produktionsumgebung, auch wenn sie vordergründig Verbesserungen bringen könnten. Der Hersteller weiß schon, warum er diese Versionen noch nicht endgültig freigegeben hat! Wenn Sie also (produktiv) mit Ihrem Rechner arbeiten, sollten Sie von einer Installation zunächst einmal absehen und auf die finale Version warten, die in diesem Quartal erscheinen soll. Insgesamt bietet das SP3 bei einer Größe von etwa 340 MByte über 1.000 Updates und Patches, wovon rund ein Zehntel direkt sicherheitsrelevant ist. Bei den neuen Funktionen und Security-Updates handelt es sich u.a. um: Erklärung der Sicherheitsrichtlinien: Es gibt einen neuen Reiter „Erklärung dieser Einstellung“ bei den Einträgen von „Lokale Sicherheitsrichtlininen“ ein neues Verschlüsselungs-Modul für den Windows-Kernel (Kernel Mode Cryptographic Module) die Integration der (mit Windows Vista eingeführten) Network Access Protection, die Clients noch vor der Gewährung eines Netzwerk-Zugangs prüft, ob sie geschützt, gepatcht und richtig konfiguriert sind - verstößt ein Rechner gegen Security-Auflagen, darf er gar nicht erst aufs Netzwerk zugreifen die Erkennung so genannter "Black Hole Router", die versuchen Daten auszuspähen eine neue Version des Background Intelligence Transfer Services (BITS, dt.: Intelligenter Hintergrund-Übertragungsdienst), der den Update-Download beschleunigt und die Fortsetzung unterbrochener Downloads ermöglicht eine neue Version der Microsoft Management Console (MMC) Installation ohne Produktschlüssel
• Netzwerksicherheit

  no description available

  116
  Topics
  316
  Posts

  ?

  Hallo in die Runde, ich würde gerne dieses Problem mit einem Konzept lösen wollen: Meine Firma X kauft ein Automatisierungssystem (Computer + Maschine) von einem Hersteller. Der Computer vom Zulieferer soll Prozessdaten in unsere (MS-SQL) Datenbank schreiben. Frage: Wie kann man die Integration der Zuliefererhardware gestalten, sodass der Integrationsaufwand minimal wird? Hier sehe ich erstmal zwei Ansätze: Wir bauen einen Rechner im Firmennetz auf, wo wir das Betriebssystem etc mit internen Frameworks kontrollieren. Auf diesem Betriebssystem installieren wir die Software vom Zulieferer. Vorteil: Haben Kontrolle über die Prozesse auf OS-Ebene Nachteil: Relativ hoher Aufwand. Viel Abstimmung mit dem Zulieferer (Kompatibilität, HW-Schnitstellen, etc) Der Zulieferer bringt seinen eigenen Rechner (Box) und bekommt von uns ein Netzwerkkabel, um dann in unserem Netz auf die Datenbank zuzugreifen. Wie limitieren die Zugriffe auf der Datenbankebene (user x darf tabelle Y lesen). Und öffnen nur Port Z, sodass das Zulieferersystem nur über den einen Port kommunizieren darf. Vorteil: relativ einfach Nachteil: Erlauben einem unkontrollierten OS Zugriff auf unser Netzwerk, wenn es auch nur bei einem Port bleibt. Kann mir jemand eine Richtung aufweisen, wo ich mich über passende Konzepte schlau machen kann? Ich würde gerne die Lösungen auf Entscheider-Ebene verstehen können. Ich bin ja sicherlich nicht der erste, der solch ein Problem hat.
• Web-Security

  no description available

  39
  Topics
  113
  Posts

  ?

  Sorry. Sie sah so aus: 93.131.138.xx
• Security Hard- & Software

  no description available

  67
  Topics
  205
  Posts

  N

  Vielen Dank für die ausführlich Antwort. Die Performance-Frage hat sich für mich nach weiterer Recherche auch geklärt. Es ist tatsächlich so, dass die Bezeichnung «Langsam» sich auf die initiale Verschlüsselung bezieht. Das Ausbauen der Festplatte und das Auftreiben eines USB-Adapters war mir effektiv zu mühsam. Habe aber eine andere Lösung gefunden. Festplatte komplett verschlüsselt und danach wieder neu aufgesetzt und wieder vollständig verschlüsselt. Somit sollten auch die «hidden blocks» unwiderruflich verschlüsselt sein. Leider eine suboptimale Lösung, erfüllt aber seinen Zweck. lg
• Security-Management

  no description available

  152
  Topics
  415
  Posts

  S

  Ich habe noch eine Ergänzung zu meiner vorangegangenen Antwort: Wenn Sie mehr zum Thema "Rechtliche Konsequenzen und Gegenmaßnahmen beim Filesharing in Unternehmen" wissen wollen, lesen Sie doch mal folgende zwei Security-Insider-Fachartikel: Rechtliche Risiken durch Filesharing: Unternehmen und der Abmahnmahnwahn http://www.Security-Insider.de/themenbereiche/bedrohungen/menschliche-faktoren/articles/121181/ und Praktischer Umgang mit Filesharing und Abmahnungen: Filesharing im Unternehmen unterbinden http://www.Security-Insider.de/themenbereiche/bedrohungen/menschliche-faktoren/articles/121508/ Da gibt es einige interessante Einblicke und Hinweise drin. Peter Schmitz Chefredakteur Security-Insider.de
• Identity- und Access-Management

  IAM, Identity- und Access-Management

  90
  Topics
  244
  Posts

  S

  Man muss sich nur ansehen, was passieren kann, wenn man nicht hasht. Dann begreift man schnell, warum hashen dringend notwendig ist. Eine der vier großen Wirtschafsprüfungsfirmen besitzt einen Bewerberbereich, in dem man seine Lebenslaufdaten per Login geschützt hinterlegen kann. Diese Anmeldedaten wurden im Klartext aufbewahrt. Im Widerspruch zur eigenen Datenschutzrichtlinie wurden diese Daten nie gelöscht, sodass sich die Klartextanmeldedaten aller Bewerber über Jahre hinweg auf den Firmenservern befanden. Die wurden nun gehackt, und die Anmeldedaten samt E-Mail-Adressen von Kriminellen heruntergeladen. Nun predigt man stets, dass man niemals dasselbe Passwort für verschiedene Zwecke verwenden soll. Gleichwohl hielten sich nicht alle Bewerber an diese Schutzregel.:eek: Die Hacker mussten dann nur noch die Kombination Bewerber-E-Mail-Adresse/Bewerber-Passwort aller Datensätze gegen die Websites von Finanzendienstleistern laufen lassen, um Schaden anzurichten. Diese Peinlichkeit (und der Schaden für die Bewerber!) wäre nicht vorgefallen, wenn die Wirtschaftsprüfungsfirma die Passwörter gehasht gespeichert hätte. Dass man Passwörter nicht rausschicken, sondern nur zurücksetzen kann, ist ein niedriger Preis, mit dem man sich die Sicherheit erkauft, dass es nicht zu einem unkontrollierten Passwortdiebstahl (ob durch Externe oder durch eigene Mitarbeiter) kommen kann.
• Mobile Security

  Mobile Sicherheit, mobile Security, Android, iOS, Windows Phone

  28
  Topics
  70
  Posts

  T

  Es ist wirklich Wahnsinn, was sich über die Zeit getan hat im Mobile Device Management. Mittlerweile ist es ja undenkbar, kein MDM mehr zu haben. Wir haben da auch viel probiert und sind letztendlich bei MobiVisor hängen geblieben. Wen es interessiert: https://www.mobivisor.de/ Da kann man auch private Geräte nutzen, weil die privaten Daten mittels Container von den Geschäftsdaten getrennt sind. Was aber immer noch ein riesen Thema bleibt, ist die Frage, ob einen das wirklich dazu verhilft, die eigene Work-Life-Balance nicht gut zu trennen, schließlich kann man ja mit wenigen Klicks vom privaten in den Geschäftsmodus wechseln.