Skip to content

About Security auf archive.org

Alle Folgen meiner Serie "About Security" auf entwickler.de/entwickler.com sind nach einem Crash der Server von Software & Support Media im Mai 2013 offline. Ob sie wieder online gestellt werden und wenn ja wann steht noch nicht fest. Ich hoffe sehr, dass das noch klappt.

Aber zum Glück gibt es ja die Wayback Machine des Internet Archive, und dort sind mit Ausnahme des Weihnachtsspecials 2009 alle Folgen archiviert. Daher gibt es hier eine Liste der Texte mit Links zur Wayback Machine. Und auch das Weihnachtsspecial 2009 ist noch im Internet zu finden, es ist auf archive-de.com archiviert.

Der Nachteil der archivierten Versionen: Die Verlinkung der Folgen untereinander funktioniert nur mangelhaft, wenn überhaupt.

Einführung

Was ist "IT-Sicherheit" eigentlich? Hier werden die drei Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität vorgestellt, außerdem gibt es erste Beispiele für Angriffe und Schutzmaßnahmen.

Eine typische Schwachstelle: Der Pufferüberlauf

Pufferüberläufe sind die Ursache für sehr viele, wenn nicht sogar die meisten, Schwachstellen in Betriebssystemen und Desktopanwendungen.

Sichere Webanwendungen

Dies ist der erste von zwei Themenblöcken zur Websicherheit. Die Texte zu HTTP-Request-Smuggling und HTTP-Response-Splitting waren die ersten Artikel zu diesen Schwachstellen in deutscher Sprache!

SQL-Injection

Cross-Site Scripting

Skriptcode einschleusen

HTTP-Request-Smuggling und HTTP-Response-Splitting

Gefahren für Webanwendungen und -server

Firewall

Was ist eine Firewall überhaupt, und wie funktioniert die?

Logfiles

Was wird in Logfiles protokolliert, und wie findet man darin Hinweise auf mögliche Angriffe?

Intrusion Detection und Prevention Systeme

Intrusion Detection Systeme dienen der Erkennung von Angriffen, mit Intrusion Prevention Systemen können die Angriffe zumindest teilweise auch abgewehrt werden.

Honeypots

Honeypots, auf deutsch also Honigtöpfe, sind absichtlich unsichere Systeme und Anwendungen, die ursprünglich Angreifer von wichtigen Systemen weglocken sollten. Inzwischen dienen sie meist dazu, Angreifer anzulocken, um deren Methoden zu untersuchen.

Entwicklung einer Security Policy

Eine Security Policy, auf deutsch eine Sicherheitsrichtlinie, ist äußerst wichtig: Sie legt fest, was geschützt werden muss, wie dieser Schutz aussehen soll und enthält vor allem auch Regeln für den Fall, dass es zu einem Angriff kommt. Denn wenn es soweit ist, hat man im Allgemeinen keine Zeit für langes Überlegen oder Experimente, dann muss schnell und zielgerichtet reagiert werden.

Angriffe auf TCP/IP

TCP/IP ist das dem Internet zugrunde liegende Netzwerkprotokoll. Und wie eigentlich überall gibt es auch darin Schwachstellen und Angriffe darauf.

Kryptographie

Die Kryptologie, die Wissenschaft von der Ver- und Entschlüsselung, umfasst zwei Gebiete: Die Kryptographie und die Kryptanalyse. Die Kryptographie ist stark vereinfacht die Lehre von der Ver- und Entschlüsselung, um die es in diesen Folgen meist geht. Bei der Kryptanalyse sollen ohne Kenntnis des Schlüssels aus verschlüsselten Daten die ursprünglichen Daten ermittelt werden, außerdem dient die Kryptanalyse der Bewertung der Sicherheit kryptogaphischer Verfahren.

Grundlagen

DES

AES

RSA

Anwendungen

VPN - Virtuelle Private Netze

Virtuelle Private Netze (Virtual Private Network, VPN) sind simulierte private (Computer-)Netzwerke, die ihre Daten über ein öffentliches (Computer-)Netzwerk übertragen. Heutzutage also im Allgemeinen über das Internet.

Kryptographie 2

Im Themenkomplex "Kryptographie" fehlten noch zwei Themen, die hier quasi nachgereicht werden: Der Diffie-Hellman-Schlüsselaustausch und Hashfunktionen. Sowohl die betreuende Redakteurin als auch ich waren der Ansicht, dass es damals erst mal genug Kryptographie-Folgen waren und ein Themenwechsel angebracht war.

Mobile Security

Hier geht es rund um die Sicherheit mobiler Geräte, angefangen bei deren Verbindung mit dem Internet mittels WLAN, ihrer Kommunikation über Bluetooth-Verbindungen bis zur Sicherheit von Notebooks und den Gefahren durch fremde Hardware.

WEP

WPA, WPA2 und IEEE 802.11i

Bluetooth

Notebooks und fremde Hardware

Sichere Webanwendungen 2

Weiter geht es mit einem meiner Lieblingsthemen: Der Web-Sicherheit oder Web-Security.

Cross-Site Request Forgery

Cross-Site Scripting

Seit den ersten Folgen zum Thema Cross-Site Scripting ist einige Zeit vergangen, und es gibt etliche neue Angriffe.

Web-Würmer

Die Computer-Würmer erobern das Web - Cross-Site Scripting macht es möglich.

Schwachstellen-Suche in Webanwendungen

Wie findet man Schwachstellen in Webanwendungen? Im Grunde wird hier ein Teil eines Penetration-Tests beschrieben. Leider wurde About Security eingestellt, bevor das Thema komplett abgehandelt werden konnte. Andererseits ist das sowieso eine unendliche Geschichte, wie sie in meinem Blog verfolgen können. Sowohl Forschern als auch Cyberkriminellen fallen immer wieder neue Angriffe ein und Schwachstellen auf.

I. Informationen sammeln

II. Zustandsbasierte Angriffe

III. Angriffe über vom Benutzer gelieferte Daten

IV. Angriffe auf die Architektur der Webanwendung

V. Angriffe auf den Webserver

VI. Angriffe auf die Authentifizierung

VII. DoS-Angriffe

VIII. "Dies und das"

IX. Überblick

Sonderausgaben

Im Rahmen von About Security gab es einige Folgen, die zu keinem der Themenkomplexe gehören: Die Jubiläumsfolgen #100, #200 und #250, meine Berichte von der CeBIT und die Weihnachts-Specials, die immer "zwischen den Jahren", also zwischen Weihnachten und Neujahr, veröffentlicht wurden.

Jubiläumsfolgen

Berichte von der CeBIT

Weihnachts-Specials

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Drucksache: Windows Developer 12.17 - Angriffsvektor Bluetooth

Vorschau anzeigen
Im Windows Developer 12.17 ist ein Artikel über die BlueBorne-Schwachstellen in Bluetooth sowie die Sicherheit von Bluetooth allgemein erschienen. Eine Leseprobe gibt es auf entwickler.de. Ist BlueBorne der ganze Eisberg, oder nu

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Formular-Optionen

Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!