Es gibt mal wieder schlechte Nachrichten über SSL. Diesmal wurde mal keine
Zertifizierungsstelle gehackt, stattdessen haben Forscher festgestellt,
dass die Prüfung von Zertifikaten in anderer Software als Webbrowsern
ziemlich mangelhaft ist. Und das ist noch höflich formuliert.
Was bisher geschah...
"SSL - Der nächste Nagel im Sarg?" vollständig lesen
Kaspersky hat mal wieder einen neuen Cyberwar-Schädling gefunden:
miniFlame.
Was hat es damit auf sich?
Vom Flame-C&C-Server zu miniFlame
"Der neueste Schädling im Cyberwar ist eine kleine Flamme: miniFlame" vollständig lesen
Da ich in Mainz auf der
WebTech Conference 2012
bin, fällt der "Standpunkt" diese Woche aus. Falls Sie auf der
WebTech oder der parallel stattfindenden IPC sind, schauen Sie doch mal in
einen meiner Vorträge rein:
In diesem Shorttalk im Rahmen der "Night Sessions" von 18:45 Uhr bis 19:45
Uhr (in Mainz beginnen die Nächte wohl früh?) werde ich einen
kurzen Überblick über den laufenden Cyberwar der USA und Israels
gegen den Iran geben und erklären, warum wir mehr damit zu tun haben
was die meisten denken.
In diesem englischsprachigen Vortrag erfahren sie, welche der schönen
neuen Möglichkeiten von HTML5 ein Cyberkrimineller gegen die Benutzer
Ihrer Webanwendung einsetzen kann und was Sie dagegen tun können (oder
auch nicht).
Dienstag: "PHPopstars"
Am Dienstag Abend werde ich dann im Rahmen der Abendveranstaltung
"PHPopstars" einen kurzen Vortrag halten. Über was, wird noch nicht
verraten.
Lesestoff
Falls Sie nicht auf der WebTech oder IPC sind, sich aber für diese
Themen interessieren, finden Sie Informationen zu einigen der Probleme
bereits hier im Blog, die Präsentationen der Vorträge sowie Links
zu weiterführenden Informationen finden Sie ab Ende der Woche unter
www.ceilers-it.de/konferenzen/
sowie hier im Blog.
Und dann noch ein Hinweis: Die englische Ausgabe meines eBooks "HTML5
Security" ist seit Freitag bei Amazon und im iBook-Store erhältlich.
Carsten Eilers
Das US-amerikanische National Institute of Standards and Technology (NIST)
hat den
Gewinner
der
SHA-3 Cryptographic Hash Algorithm Competition
veröffentlicht. Der unter dem Namen
Keccak
eingereichte Algorithmus von Guido Bertoni, Joan Daemen (Belgium),
Michaël Peeters und Gilles Van Assche wird als SHA-3 die Nachfolge der
SHA-2-Familie antreten. Die Frage ist nur, ob das wirklich (schon)
nötig ist, und wer von dem neuen Algorithmus profitiert.
SHA-2, vor allem SHA-512, ist gut genug
"Wer braucht SHA-3?" vollständig lesen
Adobe hat mal wieder ein Problem. Und zwar ein ziemlich großes.
Diesmal ist es keine 0-Day-Schwachstelle in Flash Player oder Adobe Reader,
mit denen man ja reichlich Erfahrung hat. Stattdessen musste man zugeben,
dass ein Angreifer Schadsoftware mit einem Adobe-Schlüssel signieren
konnte. Mit dem Ergebnis, dass nun dem verwendeten Schlüssel nicht
mehr vertraut werden darf. Mindestens! Aber dazu komme ich später.
Erst mal werfen wir einen Blick auf das, was passiert bzw. bekannt ist.
"Unangemessene Nutzung eines Adobe-Zertifikats"
"Adobe hat mal wieder ein Problem..." vollständig lesen