Neues zu SSL und Duqu
Sowohl zu SSL/TLS als auch zu Duqu gibt es Neues zu berichten. Wobei es sich streng genommen im Fall von SSL lediglich um Bestätigungen eigentlich bereits bekannter Behauptungen und Tatsachen handelt.
Sowohl zu SSL/TLS als auch zu Duqu gibt es Neues zu berichten. Wobei es sich streng genommen im Fall von SSL lediglich um Bestätigungen eigentlich bereits bekannter Behauptungen und Tatsachen handelt.
Gefährliche Peripheriegeräte habe ich erstmals in About Security #4 erwähnt. Veröffentlichungstermin: 6 Mai 2005. In den seitdem vergangenen knapp 6 1/2 Jahren ist viel passiert, die Gefahr durch bösartige bzw. manipulierte Peripheriegeräte ist geblieben.
Wiederholungen, nichts als Wiederholungen. Nein, ich meine nicht das TV-Programm im Sommer(loch). Auch die Cyberkriminellen haben in letzter Zeit auf Bewährtes gesetzt: Clickjacking gegen Flash, Massen-SQL-Injection und Code-Recycling sind angesagt. Und in allen drei Fällen sind weitere Wiederholungen zu erwarten. Wenn das nur nicht in einer Endlosschleife endet...
Mehrere Antiviren-Hersteller haben einen neuen Schädling entdeckt, der teilweise als Stuxnet-Ableger bezeichnet wird. Da ist aber zumindest etwas irreführend. Der Duqu genannte neue Schädling weist einige Parallelen zu Stuxnet auf, aber auch mindestens genau so viele Unterschiede.
Heise Security hat festgestellt, dass einige Virenscanner bei der Erkennung eines minimal manipulierten Staatstrojaners versagen und die Erkennungsleistung auch sonst zu wünschen übrig lässt. Wundert das irgend jemanden?
Vor etwas über einem Jahr habe ich mich zuletzt mit der Sicherheit von WLANs etc. befasst. Es ist also Zeit für ein "Update" - was gibt es Neues im Hinblick auf die (Un-)Sicherheit von WLANs? Die gute Nachricht: Es gibt keine neuen Angriffe. Die schlechte Nachricht: Mehrere Vorfälle verdeutlichen die Wahl eines sicheren WPA-Passworts.
Ich habe soeben die Präsentationen zu meinen Vorträgen auf der WebTech Conference hochgeladen. Sie finden Sie auf www.ceilers-it.de/konferenzen/ sowie auch hier:
Da ich schon am Sonntag nach Mainz fahre, um am ersten Tag der Web Tech Conference 2011 zwei Vorträge zu halten, fällt der "Standpunkt" diese Woche aus. Falls Sie auf der Web Tech oder der parallel stattfindenden IPC sind, schauen Sie doch mal in einen oder beide Vorträge rein:
In diesem Vortrag erfahren sie, welche der schönen neuen Möglichkeiten von HTML5 ein Cyberkrimineller gegen die Benutzer Ihrer Webanwendung einsetzen kann. Weitere Themen sind die Kombination von Clickjacking und HTML5 und die Möglichkeiten, eine Anwendung davor zu schützen.
Microsofts "Security Development Lifecycle" ist sehr erfolgreich. Microsoft hat mit der Entwicklung von Windows Vista und Windows 7 gezeigt, wie sicher ein System werden kann, wenn die Sicherheit von Anfang an berücksichtigt wird. Und was Microsoft mit seinem Betriebssystem schafft, dass sollten Webanwender doch allemal schaffen.
Falls Sie nicht auf der Web Tech oder IPC sind, sich aber für diese Themen interessieren, finden Sie Informationen zu einigen der Probleme bereits hier im Blog, die Präsentationen der Vorträge sowie Links zu weiterführenden Informationen finden Sie ab Ende der Woche unter www.ceilers-it.de/konferenzen/.
Eine Schwachstelle oder besser ein Designfehler in vielen DSL-Routern und Kabelmodems erlaubt den Zugriff auf die UPnP-Funktion aus dem Internet. Die Folgen sind weitreichend: Ein Angreifer kann auf das lokale Netz zugreifen oder das angegriffene Gerät als Proxy z.B. zum Download illegaler Inhalte missbrauchen. Beim Rückverfolgen des Downloads endet die Spur dann beim betroffenen Gerät - und dessen Benutzer kann sich nicht erklären, wieso er einer Tat beschuldigt wird, die er nicht begangen hat.
Das Cyberkriminelle entsprechend präparierte PDF-Dateien für Angriffe nutzen ist ebenso alltäglich wie die Tatsache, dass der Flash-Player eigentlich kein Programm, sondern eine Sammlung von Schwachstellen ist. Das gilt prinzipiell auch für den Mac, wenn auch bisher meist Windows-Systeme angegriffen wurden. Und jetzt? Jetzt kommen die Cyberkriminellen auf die geniale Idee, und nutzen