Skip to content

"Windows 10: gefährlich oder gefährdet?" auf entwickler.de

Windows 10 ist noch gar nicht richtig bei den Anwendern angekommen, da gibt es schon die ersten Vorträge auf den Sicherheitskonferenzen zu Microsofts neuestem Betriebssystem. Dabei stellt sich die Frage: Ist das neue OS womöglich gefährlich oder wohl eher gefährdet?

Im Artikel über die Sicherheit von C# 6.0 hatte ich bereits darauf hingewiesen, dass Windows 10 und alles, was dazu gehört, bisher zwar nicht auf den Sicherheitskonferenzen behandelt wurde, die ersten Vorträge aber bereits für die Black Hat USA im August angekündigt waren. Schauen wir uns also einmal an, was es an Microsofts neuestem Betriebssystem auszusetzen gibt. Oder gibt es vielleicht sogar was zu loben?

Weiterlesen auf entwickler.de!

Carsten Eilers

Grundlagen der Kryptographie, Teil 2: Angriffe auf die Substitution

Für den Angriff auf die Substitution werden statistische Verfahren verwendet. Dabei wird ausgenutzt, dass bei der Substitution eine 1-zu-1-Ersetzung erfolgt, sich Besonderheiten des Klartextes also im Geheimtext wiederfinden. Dies trifft insbesondere auf die Häufigkeit von Buchstaben und Buchstabenpaaren zu.

"Grundlagen der Kryptographie, Teil 2: Angriffe auf die Substitution" vollständig lesen

Drucksache: Entwickler Magazin 2.16 - Bargeldlos => Geld los?!

Im Entwickler Magazin 2.16 ist ein Artikel über Angriffe auf das bargeldlose Zahlen, sowohl mit der altbekannten Chip&PIN-Karte als auch mit dem Smartphone, erschienen.

Das Bezahlen mit dem Smartphone oder NFC-fähigen Karten statt mit Bargeld oder Bank- oder Kreditkarte mit dem "Chip-und-PIN"-Verfahren ist gerade "in". Wie überall, wo es um Geld geht, ruft das auch die Kriminellen auf den Plan. Wie sicher sind die neuen Zahlungsmethoden also?

"Drucksache: Entwickler Magazin 2.16 - Bargeldlos => Geld los?!" vollständig lesen

Grundlagen der Kryptographie, Teil 1: Substitution

Seit den Enthüllungen von Edward Snowden wissen wir mit Sicherheit, dass NSA und Co. unsere Kommunikation belauschen. Und es würde mich doch sehr wundern, wenn nicht auch alle anderen Geheimdienste auf der Welt das gleiche machen würden. Von den Cyberkriminellen ganz zu schweigen, sofern sie eine Möglichkeit dafür finden.

Dagegen hilft nur eins: Die Daten verschlüsseln. Nur sichere kryptographische Verfahren mit ebenso sicheren Schlüsseln schützen die Kommunikation vor dem Ausspähen. Oder stellen sicher, dass wir wirklich mit dem gewünschten Partner kommunizieren. Oder sorgen dafür, dass die für die Verschlüsselung nötigen Schlüssel sicher ausgetauscht werden. Oder... Oder...

Was es mit der Kryptographie auf sich hat, werde ich dieser und den nächsten Folgen erklären.

Kryptographie? Was ist das eigentlich?

"Grundlagen der Kryptographie, Teil 1: Substitution" vollständig lesen

Die Router-Schwachstellen des Jahres 2015 als eBook

Die Übersicht über die Router-Schwachstellen des Jahres 2015 ist komplett. Allerdings auch etwas unübersichtlich:

Ich habe die einzelnen Schwachstellen daher noch einmal neu sortiert. Hier gibt es ein (natürlich kostenloses) ePub-eBook, in dem alle Schwachstellen in der richtigen chronologischen Reihenfolge aufgeführt sind.

Carsten Eilers

Router-Schwachstellen 2015, Teil 16: Noch zwei Schwachstellen im Dezember

Der Überblick über die Router-Schwachstellen des Jahres 2015 nähert sich seinem Ende: Wir sind bei den letzten zwei (oder eigentlich: drei) Schwachstellen des Jahres angekommen! Das am 31. Dezember vorgestellte und eigentlich als krönenden Abschluss vorgesehene Tool zum Berechnen von Default-WLAN-Passwörtern habe ich ja bereits vorgestellt. Dafür gibt es einen neuen krönenden Abschluss!

23. Dezember - Kritische Schwachstelle im Netz von Kabel Deutschland/Vodafone

"Router-Schwachstellen 2015, Teil 16: Noch zwei Schwachstellen im Dezember" vollständig lesen

Drucksache: IT Administrator 1.16 - MitM-Angriffe auf HTTPS

Im IT-Administrator Januar 2016 ist ein Artikel über Angriffe auf HTTPS-Verbindungen erschienen.

HTTPS schützt eine Verbindung sowohl vor dem Abhören als auch vor Manipulationen. Aber nur, wenn sich der Angreifer nicht in die geschützte Verbindung zwischen Client und Server drängeln kann. Was einem MitM, der bereits in der Internetverbindung sitzt, mit dem richtigen Werkzeug leicht fällt.

"Drucksache: IT Administrator 1.16 - MitM-Angriffe auf HTTPS" vollständig lesen

Einige Angriffe auf CAs im Überblick

Das größte Problem bei der Sicherheit von SSL/TLS allgemein und HTTPS im besonderen ist und bleibt das bestehende Zertifizierungssystem. Es gibt einfach zu viele CAs, denen die Browser und Betriebssysteme ab Werk vertrauen. Stellt eine dieser CAs Zertifikate aus, ohne dazu autorisiert zu sein, so werden die vom Browser natürlich als gültig akzeptiert. So ein "echtes" Zertifikat macht einem MitM-Angriff natürlich sehr viel leichter. Und dabei muss diese CA gar nicht mal böswillig handelt, es reicht wenn sie erfolgreich angegriffen wird oder unsauber arbeitet.

Einige Beispiele für Angriffe auf CAs sowie unsauber arbeitende CAs hatte ich bereits hier im Blog:

"Einige Angriffe auf CAs im Überblick" vollständig lesen

Router-Schwachstellen 2015, Teil 15: Die Schwachstellen im November und Dezember

Der Überblick über die Router-Schwachstellen des Jahres 2015 nähert sich seinem Ende: Wir sind bereits Mitte November angekommen!

Der November - wieder etliche Schwachstellen in zig Routern

20. November - Preisgabe von Informationen in drei Routern

"Router-Schwachstellen 2015, Teil 15: Die Schwachstellen im November und Dezember" vollständig lesen

NAS im Einsatz - einfach, aber unsicher?

Verwenden Sie ein NAS? Sie wissen schon, diese praktischen Netzwerkspeicher, um die Sie sich im Grunde nie kümmern müssen. Einmal ans Netzwerk angeschlossen, stellen sie massenhaft Speicherplatz zur Verfügung. Und das Beste daran: Ab Werk sind sie ohne großen Aufwand mit dem Internet verbunden, sodass Sie von überall auf Ihre gespeicherten Daten zugreifen können. Das ist praktisch. Für Sie, und leider auch für die Cyberkriminellen. Und die haben die Möglichkeiten der NAS in der Vergangenheit bereits genutzt.

Weiterlesen auf it-administrator.de!

Carsten Eilers

Drucksache: Mobile Technology 1.2016 - Schlechte (SIM- und Smart-)Karten

Im Magazin Mobile Technology 1.2016 ist ein Artikel über die auf der Black Hat USA 2015 vorgestellten Schwachstellen in SIM- und Smartcards erschienen.

Auf der Black Hat USA gab es drei Vorträge zu SIM- und Smartcards und Kartenlesern. Deutet sich da ein neuer Trend für Angriffe an? Lassen sich die vorgestellten Forschungsergebnisse womöglich kombinieren? Gibt es Zusammenhänge, oder ist das einfach nur Zufall?

"Drucksache: Mobile Technology 1.2016 - Schlechte (SIM- und Smart-)Karten" vollständig lesen