Dipl.-Inform. Carsten Eilers

Was ist "IT-Sicherheit" eigentlich? Hier werden die drei Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität vorgestellt, außerdem gibt es erste Beispiele für Angriffe und Schutzmaßnahmen.

• About Security #1: IT-Sicherheit - Was ist das eigentlich?
• About Security #2: Angriffsszenarien
• About Security #3: Eindringlinge abwehren
• About Security #4: Gefährdung aus der Peripherie

Eine typische Schwachstelle: Der Pufferüberlauf

Pufferüberläufe sind die Ursache für sehr viele, wenn nicht sogar die meisten, Schwachstellen in Betriebssystemen und Desktopanwendungen.

• About Security #5: Der Pufferüberlauf
• About Security #6: Ausnutzung von Pufferüberlauf- Schwachstellen
• About Security #7: Gegenwehr - Pufferüberläufe verhindern
• About Security #8: Vorbeugung - Pufferüberläufe verhindern
• About Security #9: Sourcecode Audit - Pufferüberläufe finden
• About Security #10: Software- Audit - Schwachstellensuche in Binaries

Sichere Webanwendungen

Dies ist der erste von zwei Themenblöcken zur Websicherheit. Die Texte zu HTTP-Request-Smuggling und HTTP-Response-Splitting waren die ersten Artikel zu diesen Schwachstellen in deutscher Sprache!

SQL-Injection

• About Security #11: SQL-Injection
• About Security #12: SQL-Injection verhindern
• About Security #13: Mit Stored Procedures gegen SQL-Injection

Cross-Site Scripting

• About Security #14: Cross-Site-Scripting
• About Security #15: Cross-Site-Scripting verhindern

Skriptcode einschleusen

• About Security #16: Skriptcode einschleusen

HTTP-Request-Smuggling und HTTP-Response-Splitting

• About Security #17: HTTP-Request-Smuggling
• About Security #18: Spielarten des HTTP-Request-Smuggling, 1
• About Security #19: Spielarten des HTTP-Request-Smuggling, 2
• About Security #20: HTTP-Request-Smuggling erkennen und verhindern
• About Security #21: HTTP-Response-Splitting, 1
• About Security #22: HTTP-Response-Splitting, 2
• About Security #23: Caches vergiften
• About Security #24: Caches indirekt vergiften
• About Security #25: Entführen von Webseiten

Gefahren für Webanwendungen und -server

• About Security #26: Gefahren für Webanwendungen
• About Security #27: Gefahren für Webserver
• About Security #28: Standorte für Webserver

Firewall

Was ist eine Firewall überhaupt, und wie funktioniert die?

• About Security #29: Die Firewall - Grundlagen
• About Security #30: Die Firewall - Paketfilter
• About Security #31: Die Firewall - FTP-Verbindungen
• About Security #32: Die Firewall - Application Level Gateway
• About Security #33: Die Firewall - Application Level Proxies
• About Security #34: Die Firewall - Circuit Level Proxies
• About Security #35: Die Firewall - Zusammenspiel der Komponenten
• About Security #36: Die Firewall - Demilitarisierte Zone

Logfiles

Was wird in Logfiles protokolliert, und wie findet man darin Hinweise auf mögliche Angriffe?

• About Security #37: Logfiles - Welche Daten speichern?
• About Security #38: Logfiles - Wie auswerten?
• About Security #39: Paketfilter- Logfiles manuell auswerten
• About Security #40: HTTP-Proxy-Logfiles manuell auswerten, 1
• About Security #41: HTTP-Proxy-Logfiles manuell auswerten, 2

Intrusion Detection und Prevention Systeme

Intrusion Detection Systeme dienen der Erkennung von Angriffen, mit Intrusion Prevention Systemen können die Angriffe zumindest teilweise auch abgewehrt werden.

• About Security #42: Intrusion-Detection-Systeme - Grundlagen
• About Security #43: Intrusion-Detection-Systeme - Positionierung
• About Security #44: IDS-Kommunikation
• About Security #45: IDS in hochverfügbaren Netzen
• About Security #46: Angriffe auf IDS
• About Security #47: Beispiele für IDS-Regeln
• About Security #48: Umsetzung der IDS-Beispiele mit Snort
• About Security #49: Intrusion Prevention

Honeypots

Honeypots, auf deutsch also Honigtöpfe, sind absichtlich unsichere Systeme und Anwendungen, die ursprünglich Angreifer von wichtigen Systemen weglocken sollten. Inzwischen dienen sie meist dazu, Angreifer anzulocken, um deren Methoden zu untersuchen.

• About Security #50: Honeypots
• About Security #51: Ein Honeypot - Honeyd
• About Security #52: Firewall, IDS, IPS & Honeypot

Entwicklung einer Security Policy

Eine Security Policy, auf deutsch eine Sicherheitsrichtlinie, ist äußerst wichtig: Sie legt fest, was geschützt werden muss, wie dieser Schutz aussehen soll und enthält vor allem auch Regeln für den Fall, dass es zu einem Angriff kommt. Denn wenn es soweit ist, hat man im Allgemeinen keine Zeit für langes Überlegen oder Experimente, dann muss schnell und zielgerichtet reagiert werden.

• About Security #53: Security Policy
• About Security #54: Security Policy - Ein Beispiel
• About Security #55: Security Policy - Ein Beispiel, 2
• About Security #56: Security Policy - Ein Beispiel, 3

Angriffe auf TCP/IP

TCP/IP ist das dem Internet zugrunde liegende Netzwerkprotokoll. Und wie eigentlich überall gibt es auch darin Schwachstellen und Angriffe darauf.

• About Security #57: Angriffe auf TCP/IP - Spoofing
• About Security #58: Angriffe auf TCP/IP - DoS
• About Security #59: Angriffe auf TCP/IP - Hijacking
• About Security #60: Angriffe auf TCP/IP - ARP-Spoofing
• About Security #61: Angriffe auf TCP/IP - DNS-Spoofing
• About Security #62: Angriffe auf TCP/IP - HTTP-Hijacking
• About Security #63: Angriffe auf TCP/IP - DDoS
• About Security #64: Angriffe auf TCP/IP - Schutzmaßnahmen
• About Security #65: Botnets

Kryptographie

Die Kryptologie, die Wissenschaft von der Ver- und Entschlüsselung, umfasst zwei Gebiete: Die Kryptographie und die Kryptanalyse. Die Kryptographie ist stark vereinfacht die Lehre von der Ver- und Entschlüsselung, um die es in diesen Folgen meist geht. Bei der Kryptanalyse sollen ohne Kenntnis des Schlüssels aus verschlüsselten Daten die ursprünglichen Daten ermittelt werden, außerdem dient die Kryptanalyse der Bewertung der Sicherheit kryptogaphischer Verfahren.

Grundlagen

• About Security #66: Kryptographie - Substitution
• About Security #67: Kryptographie - Transposition
• About Security #68: Kryptographie - Polyalphabetische Substitution
• About Security #69: Kryptographie - Vernam-Chiffre
• About Security #70: Kryptographie - Feistel-Netzwerke

DES

• About Security #71: Kryptographie - Data Encryption Standard (DES)
• About Security #72: Kryptographie - Betriebsarten für Blockchiffren
• About Security #73: Kryptographie - Anwendungen von DES

AES

• About Security #74: Kryptographie - Advanced Encryption Standard (AES)
• About Security #75: AES - Entschlüsselung, Sicherheit und Anwendung

RSA

• About Security #76: Kryptographie - Das RSA-Verfahren
• About Security #77: Kryptographie - RSA als Authentikationssystem
• About Security #78: Kryptographie - Hybride Verfahren

Anwendungen

• About Security #79: Kryptographie - Identitätsprüfung
• About Security #80: Kryptographie - Web of Trust
• About Security #81: Kryptographie - Hierarchische Zertifizierungssysteme
• About Security #82: Kryptographie - Zertifikate in SSL/TLS
• About Security #83: Public-Key-Infrastruktur (PKI) - Der Aufbau
• About Security #84: Public-Key-Infrastruktur (PKI) - Die CA
• About Security #85: Sichere E-Mails mit S/MIME
• About Security #86: Sicheres Einloggen mit Single Sign-On
• About Security #87: Sicherheit von Single Sign-On

VPN - Virtuelle Private Netze

Virtuelle Private Netze (Virtual Private Network, VPN) sind simulierte private (Computer-)Netzwerke, die ihre Daten über ein öffentliches (Computer-)Netzwerk übertragen. Heutzutage also im Allgemeinen über das Internet.

• About Security #88: Virtuelle Private Netze - Grundlagen
• About Security #89: Virtuelle Private Netze - IPsec (1)
• About Security #90: Virtuelle Private Netze - IPsec (2)
• About Security #91: Virtuelle Private Netze - IKEv2 (1)
• About Security #92: Virtuelle Private Netze - IKEv2 (2)
• About Security #93: Virtuelle Private Netze - IKEv2 (3)
• About Security #94: Virtuelle Private Netze - Beispiel IKEv2
• About Security #95: Virtuelle Private Netze - IPsec anschaulich
• About Security #96: Virtuelle Private Netze - PPTP
• About Security #97: Virtuelle Private Netze - TLS
• About Security #98: Virtuelle Private Netze - OpenVPN
• About Security #99: Virtuelle Private Netze - Fazit

Kryptographie 2

Im Themenkomplex "Kryptographie" fehlten noch zwei Themen, die hier quasi nachgereicht werden: Der Diffie-Hellman-Schlüsselaustausch und Hashfunktionen. Sowohl die betreuende Redakteurin als auch ich waren der Ansicht, dass es damals erst mal genug Kryptographie-Folgen waren und ein Themenwechsel angebracht war.

• About Security #101: Diffie-Hellman-Schlüsselaustausch
• About Security #102: Hashfunktionen - Einführung
• About Security #103: Hashfunktionen - MD4 und Verwandte
• About Security #104: Hashfunktionen - Sicherheit

Mobile Security

Hier geht es rund um die Sicherheit mobiler Geräte, angefangen bei deren Verbindung mit dem Internet mittels WLAN, ihrer Kommunikation über Bluetooth-Verbindungen bis zur Sicherheit von Notebooks und den Gefahren durch fremde Hardware.

WEP

• About Security #105: Mobile Security - WEP-Algorithmus
• About Security #106: Mobile Security - WEP-(Un)Sicherheit
• About Security #107: Mobile Security - WEP-Angriffe und Gegenwehr

WPA, WPA2 und IEEE 802.11i

• About Security #108: Mobile Security - Wi-Fi Protected Access (WPA)
• About Security #109: Mobile Security - IEEE 802.11i Schlüsselhierarchien
• About Security #110: Mobile Security - IEEE 802.11i Pairwise Master Key
• About Security #111: Mobile Security - IEEE 802.11i Gruppenschlüssel
• About Security #112: Mobile Security - IEEE 802.11i Verschlüsselung
• About Security #113: Mobile Security - IEEE 802.11i Authentifizierung
• About Security #114: Mobile Security - IEEE 802.11i Pairwise Master Key
• About Security #115: Mobile Security - Sicherheit von WEP, WPA und IEEE 802.11i
• About Security #116: Mobile Security - Sicherheit von WEP, WPA und IEEE 802.11i, Teil 2
• About Security #117: Mobile Security - WLAN-Hotspots

Bluetooth

• About Security #118: Mobile Security - Bluetooth Grundlagen
• About Security #119: Mobile Security - Bluetooth Schlüssel
• About Security #120: Mobile Security - Bluetooth-Authentisierung
• About Security #121: Mobile Security - Bluetooth-Schwachstellen
• About Security #122: Mobile Security - Bluetooth Angriffe

Notebooks und fremde Hardware

• About Security #123: Mobile Security - Schutz für Notebooks
• About Security #124: Mobile Security - Schutz für Notebooks, Teil 2
• About Security #125: Mobile Security - Schutz für Notebooks, Teil 3
• About Security #126: Gefahren durch fremde Hardware

Sichere Webanwendungen 2

Weiter geht es mit einem meiner Lieblingsthemen: Der Web-Sicherheit oder Web-Security.

Cross-Site Request Forgery

• About Security #127: Cross-Site-Request-Forgery: Einführung
• About Security #128: CSRF: Ausnutzung und Gegenmaßnahmen

Cross-Site Scripting

Seit den ersten Folgen zum Thema Cross-Site Scripting ist einige Zeit vergangen, und es gibt etliche neue Angriffe.

• About Security #129: Cross-Site-Scripting, reloaded
• About Security #130: DOM-basiertes XSS abwehren
• About Security #131: XSS-Angriffe (1)
• About Security #132: XSS-Angriffe (2)
• About Security #133: XSS-Angriffe (3): JavaScript-Ping & Co.
• About Security #134: XSS-Angriffe (4): JavaScript-Portscan
• About Security #135: XSS-Angriffe (5): JavaScript-Portscan vorbereiten
• About Security #136: XSS-Angriffe (6): DSL-Router ausspähen
• About Security #137: XSS-Angriffe (7): Weitere Ziele

Web-Würmer

Die Computer-Würmer erobern das Web - Cross-Site Scripting macht es möglich.

• About Security #138: Web-Würmer (1): Samy, der MySpace-Wurm
• About Security #139: Web-Würmer (2): Samys Ende
• About Security #140: Web-Würmer (3): Yamanner
• About Security #141: Web-Würmer (4): Der Orkut-XSS-Wurm
• About Security #142: Web-Würmer (5): Der gemeine Wurm
• About Security #143: Web-Würmer (6): Wurmkur

Schwachstellen-Suche in Webanwendungen

Wie findet man Schwachstellen in Webanwendungen? Im Grunde wird hier ein Teil eines Penetration-Tests beschrieben. Leider wurde About Security eingestellt, bevor das Thema komplett abgehandelt werden konnte. Andererseits ist das sowieso eine unendliche Geschichte, wie sie in meinem Blog verfolgen können. Sowohl Forschern als auch Cyberkriminellen fallen immer wieder neue Angriffe ein und Schwachstellen auf.

I. Informationen sammeln

• About Security #144: Schwachstellen-Suche: Allgemeine Infos sammeln
• About Security #145: Schwachstellen-Suche: Daten auswerten
• About Security #146: Schwachstellen-Suche: Infos im Client sammeln
• About Security #147: Schwachstellen-Suche: Ajax-Clients
• About Security #148: Schwachstellen-Suche: Ajax-Clients (2)

II. Zustandsbasierte Angriffe

• About Security #149: Schwachstellen-Suche: Zustandsinformationen
• About Security #150: Schwachstellen-Suche: Zustandsinformationen 2
• About Security #151: Schwachstellen-Suche: Cookie-Poisoning
• About Security #152: Schwachstellen-Suche: Contra Cookie-Poisoning
• About Security #153: Schwachstellen-Suche: URL-Jumping
• About Security #154: Schwachstellen-Suche: Der Referer-Header
• About Security #155: Schwachstellen-Suche: Session-Hijacking
• About Security #156: Schwachstellen-Suche: Session Hijacking verhindern
• About Security #157: Schwachstellen-Suche: Session Fixation

III. Angriffe über vom Benutzer gelieferte Daten

• About Security #158: Schwachstellen-Suche: Einfaches XSS
• About Security #159: Schwachstellen-Suche: XSS trotz Filter
• About Security #160: Schwachstellen-Suche: XSS finden
• About Security #161: Schwachstellen-Suche: XSS verhindern
• About Security #162: Schwachstellen-Suche: Persistentes XSS
• About Security #163: Schwachstellen-Suche: Persistentes XSS (2)
• About Security #164: Schwachstellen-Suche: Persistentes XSS (3)
• About Security #165: Schwachstellen-Suche: DOM-basiertes XSS
• About Security #166: Schwachstellen-Suche: SQL-Injection Grundlagen
• About Security #167: Schwachstellen-Suche: SQL-Injection über Strings
• About Security #168: Schwachstellen-Suche: SQL-Injection statt Zahlen
• About Security #169: Schwachstellen-Suche: SQL-Injection Statements
• About Security #170: Schwachstellen-Suche: SQL-Injection mit UNION
• About Security #171: Schwachstellen-Suche: SQL-Injection mit UNION (2)
• About Security #172: Schwachstellen-Suche: SQL-Injection mit Filter
• About Security #173: Schwachstellen-Suche: SQL-Injection mit Escape
• About Security #174: Schwachstellen-Suche: SQL-Injection 2. Ordnung
• About Security #175: Schwachstellen-Suche: Blind SQL-Injection
• About Security #176: Schwachstellen-Suche: SQL-Injection verhindern
• About Security #177: Schwachstellen-Suche: Directory-Traversal
• About Security #178: Schwachstellen-Suche: Directory-Traversal (2)
• About Security #179: Schwachstellen-Suche: Directory-Traversal (3)
• About Security #180: Schwachstellen-Suche: Directory-Traversal (4)
• About Security #181: Schwachstellen-Suche: Directory-Traversal (5)
• About Security #182: Schwachstellen-Suche: Directory-Traversal (6)
• About Security #183: Schwachstellen-Suche: Remote File Inclusion
• About Security #184: Schwachstellen-Suche: OS Command Injection
• About Security #185: Schwachstellen-Suche: OS Command Injection (2)
• About Security #186: Schwachstellen-Suche: OS Command Injection (3)
• About Security #187: Schwachstellen-Suche: Scriptcode Injection
• About Security #188: Schwachstellen-Suche: Scriptcode Injection (2)
• About Security #189: Schwachstellen-Suche: XPath-Injection
• About Security #190: Schwachstellen-Suche: SOAP-Injection
• About Security #191: Schwachstellen-Suche: SOAP-Injection finden
• About Security #192: Schwachstellen-Suche: SMTP-Header-Injection
• About Security #193: Schwachstellen-Suche: SMTP-Command-Injection
• About Security #194: Schwachstellen-Suche: LDAP-Injection
• About Security #195: Schwachstellen-Suche: LDAP-Injection verhindern
• About Security #196: Schwachstellen-Suche: Pufferüberläufe finden
• About Security #197: Schwachstellen-Suche: Pufferüberläufe verhindern
• About Security #198: Schwachstellen-Suche: Integer-Schwachstellen
• About Security #199: Schwachstellen-Suche: Formatstrings

IV. Angriffe auf die Architektur der Webanwendung

• About Security #201: Schwachstellen-Suche: Vertrauensbeziehungen ausnutzen
• About Security #202: Schwachstellen-Suche: Schichtenarchitekturen angreifen
• About Security #203: Schwachstellen-Suche: Shared Environments
• About Security #204: Schwachstellen-Suche: Shared Environments (2)
• About Security #205: Schwachstellen-Suche: Shared Environments (3)

V. Angriffe auf den Webserver

• About Security #206: Schwachstellen-Suche: Webserver identifizieren
• About Security #207: Schwachstellen-Suche: Webserver angreifen
• About Security #208: Schwachstellen-Suche: Webserver schützen
• About Security #209: Schwachstellen-Suche: Webserver untersuchen
• About Security #210: Schwachstellen-Suche: Webserver-Konfiguration
• About Security #211: Schwachstellen-Suche: Gefährliche HTTP-Methoden
• About Security #212: Schwachstellen-Suche: Proxy-Server
• About Security #213: Schwachstellen-Suche: Webserver konfigurieren

VI. Angriffe auf die Authentifizierung

• About Security #214: Schwachstellen-Suche: Authentifizierung - Grundlagen
• About Security #215: Schwachstellen-Suche: Authentifizierung - Brute Force
• About Security #216: Schwachstellen-Suche: Authentifizierung - Namen finden
• About Security #217: Schwachstellen-Suche: Authentifizierung - Ein Angriff
• About Security #218: Schwachstellen-Suche: Authentifizierung - Die Übertragung
• About Security #219: Schwachstellen-Suche: Authentifizierung - Verschlüsselung
• About Security #220: Schwachstellen-Suche: Authentifizierung - Unsichere Kryptographie
• About Security #221: Schwachstellen-Suche: Authentifizierung - Passwort ändern
• About Security #222: Schwachstellen-Suche: Authentifizierung - Passwort-Reset
• About Security #223: Schwachstellen-Suche: Authentifizierung - Passwort-Reset (2)
• About Security #224: Schwachstellen-Suche: Authentifizierung - "Remember me"
• About Security #225: Schwachstellen-Suche: Authentifizierung - "User Impersonation"
• About Security #226: Schwachstellen-Suche: Authentifizierung - "Halbe Passwörter"
• About Security #227: Schwachstellen-Suche: Authentifizierung - "Doppelte Benutzer"
• About Security #228: Schwachstellen-Suche: Authentifizierung - Vorhersagbares
• About Security #229: Schwachstellen-Suche: Authentifizierung - Daten übertragen
• About Security #230: Schwachstellen-Suche: Authentifizierung - Implementierungsfehler
• About Security #231: Schwachstellen-Suche: Authentifizierung - Implementierungsfehler (2)
• About Security #232: Schwachstellen-Suche: Sichere Authentifizierung
• About Security #233: Schwachstellen-Suche: Sichere Authentifizierung (2)
• About Security #234: Schwachstellen-Suche: Sichere Authentifizierung (3)
• About Security #235: Schwachstellen-Suche: Sichere Authentifizierung (4)
• About Security #236: Schwachstellen-Suche: Sichere Authentifizierung (5)
• About Security #237: Schwachstellen-Suche: Sichere Authentifizierung (6)
• About Security #238: Schwachstellen-Suche: Sichere Authentifizierung (7)

VII. DoS-Angriffe

• About Security #239: Schwachstellen-Suche: Denial of Service
• About Security #240: Schwachstellen-Suche: Denial of Service (2)
• About Security #241: Schwachstellen-Suche: Denial of Service (3)
• About Security #242: Schwachstellen-Suche: DoS verhindern
• About Security #243: Schwachstellen-Suche: DoS verhindern (2)
• About Security #244: Schwachstellen-Suche: DoS verhindern (3)

VIII. "Dies und das"

• About Security #245: Schwachstellen-Suche: Session-Token
• About Security #246: Schwachstellen-Suche: Session-Token (2)
• About Security #247: Schwachstellen-Suche: Session-Token (3)

IX. Überblick

• About Security #248: Schwachstellen-Suche im Überblick
• About Security #249: Schwachstellen-Suche im Überblick (2)
• About Security #251: Schwachstellen-Suche im Überblick (3)
• About Security #252: Schwachstellen-Suche im Überblick (4)
• About Security #253: Schwachstellen-Suche im Überblick (5)

Sonderausgaben

Im Rahmen von About Security gab es einige Folgen, die zu keinem der Themenkomplexe gehören: Die Jubiläumsfolgen #100, #200 und #250, meine Berichte von der CeBIT und die Weihnachts-Specials, die immer "zwischen den Jahren", also zwischen Weihnachten und Neujahr, veröffentlicht wurden.

Jubiläumsfolgen

• About Security #100: Die Jubiläumsfolge
• About Security #200: About Security #200: Ein Rückblick auf 4 Jahre IT-Sicherheit
• About Security #250: Ein Blick in die Zukunft

Berichte von der CeBIT

• About Security: Ein Bericht von der CeBIT 2006
• About Security: Ein Bericht von der CeBIT 2007
• About Security: Ein Bericht von der CeBIT 2008
• About Security: Ein Bericht von der CeBIT 2009

Weihnachts-Specials

• 2005: About Security: Digitale Gutscheine vom Weihnachtsmann
• 2006: About Security: Lesestoff für lange Winterabende...
• 2007: About Security: Security Live CDs
• 2008: About Security: Nützliche Cheat Sheets, interessante Blogs
• 2009: About Security Weihnachts-Special: Lesetips zur Web-Sicherheit (auf archive-de.com)

Carsten Eilers