Ab dieser Folge geht es um neue Entwicklungen rund ums Clickjacking. Los geht es mit dem aktuellen Stand der Gegenmaßnahmen. Die ursprünglich beschriebenen Gegenmaßnahmen haben inzwischen einige Nachteile.
Heute gibt es nicht viel, was sich zu kommentieren lohnt. Denn zum BSI und dessen Umgang mit den gefundenen Daten haben andere bereits alles relevante gesagt und geschrieben, zum Beispiel Fefe. Mit der Aktion hat sich das BSI wirklich nicht mit Ruhm bekleckert.
Zum Abschluss des “Updates” zu Drive-by-Infektionen gibt es eine bunte Mischung von Informationen. Los geht es mit einem äußerst unschönen Angriff, bei dem die Drive-by-Infektion ungefragt ins Haus kommt:
Heute gibt es mal wieder eine bunte Mischung an Kommentaren. Los geht es mit einer Aktualisierung zum “Standpunkt” der vorigen Woche zum “Internet der Dinge”:
Im Magazin Mobile Technology 1.2014 ist ein Artikel über Spyphones erschienen. Smartphones sind klein, unauffällig, (fast) überall dabei – und damit das ideale Werkzeug, um ihre Benutzer auszuspionieren. Es gibt sogar schon eine Bezeichnung für derartige präparierte Smartphones: Spyphones. Und was die alles können, ist erschreckend.
“Drucksache: Mobile Technology 1.2014 – Vom Smartphone zum Spy Phone” vollständig lesenIm Magazin Mobile Technology 1.2014 ist ein Artikel über Angriffe auf Android-Smartphones erschienen. iOS ist in seinem “walled garden” mit seinem App Store zumindest vor bösartigen Apps recht gut geschützt, siehe Mobile Technology 4.2102. Android ist dagegen eine offenes System – und damit auch offen für bösartige Apps und alle mögliche Schadsoftware.
“Drucksache: Mobile Technology 1.2014 – Android im Visier der Cyberkriminellen” vollständig lesenPräparierte Werbung wie zum Jahreswechsel 2013/2014 auf Yahoo.com ist nur eine von vielen Möglichkeiten, harmlosen Websites den Code für die Drive-by-Infektionen unter zu schieben. Genau so gut können auch die Webanwendungen selbst angegriffen werden.
Ich habe gestern die Belegexemplare meines neuen Buchs
“iOS Security – Sichere Apps für iPhone und iPad”
bekommen, ab sofort ist es auch im Buchhandel erhältlich (sowohl
gedruckt als auch als eBook). Den Inhalt kenne ich ja schon etwas
länger, trotzdem ist es etwas ganz anderes, das fertige Buch in
Händen zu halten. Schön ist es geworden. 
Worum geht es? Wie schon der Untertitel verrät um die Entwicklung sicherer Apps für iOS-Geräte, also iPhone und iPad (und was Apple sich sonst noch so ausdenken wird natürlich auch).
Im PHP Magazin 2.2014 ist ein Artikel über den aktuellen Stand der Sicherheit von HTML5 und JavaScript erschienen.
“Drucksache: PHP Magazin 2.2014 – Angriffsziel Webbrowser” vollständig lesenDas “Internet der Dinge” macht immer öfter von sich reden. Und die Antivirenhersteller fragen sich natürlich auch, wie sie ihre Produkte darauf zum laufen bekommen. Also, erst mal ist es (ausreichend Rechenleistung vorausgesetzt) meist gar kein Problem, einen Virenscanner auf so einem “Ding” zu installieren. Warum aber sollte man das tun?
Im windows.developer 2.2014 ist ein Artikel über den aktuellen Stand der Sicherheit von Azure erschienen.
Im windows.developer 10.2012 war bereits ein Artikel über die Sicherheit von Microsofts Cloud erschienen. Da stellt sich natürlich die Frage, wie es denn inzwischen mit der Sicherheit von Azure aussieht. Wenn man mal davon absieht, dass die NSA alles absaugt, was sich finden lässt. Nun, die Sicherheit von Azure hat sich 2013 durchaus weiterentwickelt. Außerdem hat sich die Unsicherheit nicht erhöht, denn auf den Sicherheitskonferenzen wurden 2013 keine neuen Angriffe auf oder Schwachstellen in Azure präsentiert. Aus Sicherheitssicht ist an Azure also wenig auszusetzen.
“Drucksache: windows.developer Magazin 2.2014 – Azure und die Sicherheit” vollständig lesenEigentlich wollte ich ab dieser Folge Aktualisierungen der älteren Grundlagen-Texte veröffentlichen, angefangen mit Clickjacking-Angriffen. Aus aktuellen Anlass geht es aber mit einem “Update” zu den Texten über Drive-by-Infektionen los: Über den Jahreswechsel 2013/2014 wurde ein Adserver von Yahoo kompromittiert, über den präparierte Anzeigen auf Yahoo eingeschleust wurden.
Eloi Vanderbeken hat auf seinem Linksys WAG200G Router eine Hintertür auf TCP-Port 32764 entdeckt, nach seinem Bericht wurden weitere betroffene Geräte gemeldet. Über die Backdoor können verschiedene Befehle ausgeführt werden, einschließlich dem Öffnen einer Shell und dem Auslesen oder Ändern der Konfiguration.
Die NSA gehört zu den klassischen “Jägern und Sammlern”. Der erste Gedanke der NSA-Mitarbeiter, wenn sie irgend welche Daten sehen, ist vermutlich “Das müssen wir alles speichern, man könnte es ja mal brauchen!” Und dafür braucht man natürlich auch geeignete Werkzeuge. Ein Katalog mit solchen Tools wurde während meiner Weihnachtspause veröffentlicht, und ich muss zugeben: Bei einigen Sachen würde ich nicht “Nein” sagen, wenn sie mir der Weihnachtsmann unter den Baum legen würde. Viel interessanter aber: BadBIOS passt eigentlich sehr gut in diese Sammlung. Ein Schelm, wer Böses dabei denkt?
Ich wünsche allen Lesern ein Frohes Neues Jahr!
Über meine kleine “Weihnachtspause” ist so viel passiert, dass ich den “Standpunkt” heute nicht mehr fertig bekomme. Ich muss da noch ein paar Sachen einordnen. Wenn man liest, was die NSA alles in ihrem “Werkzeugkasten” hat, erscheint BadBIOS doch in einem ganz anderen Licht. Den ersten “Standpunkt” in 2014 gibt es also erst morgen.
