Skip to content

Ups...

... es ist ja schon wieder Donnerstag!?! Irgendwie habe ich es jetzt total verpasst, den Grundlagentext für heute fertig zu machen. Das werde ich dann morgen im Laufe des Tages erledigen und den Text dann Online stellen. Je nachdem, was morgen sonst noch so anfällt, evtl. auch erst am Samstag.

Ich bitte um Entschuldigung - meine "innere Uhr" scheint einen Tag nach zu gehen.

Carsten Eilers

Der Code sagte GOTO FAIL, und Apples SSL-Prüfung gehorchte

Apple hat ein dringendes Update für iOS veröffentlicht, die damit behobenen Schwachstelle in der Prüfung von SSL-Zertifikaten betrifft auch Mac OS X. Der zu Grunde liegende Fehler ist... sagen wir mal "interessant", und das aus mehreren Gründen.

Mit einem iOS-Update ging es los...

"Der Code sagte GOTO FAIL, und Apples SSL-Prüfung gehorchte" vollständig lesen

0-Day-Schwachstelle im Flash Player, die zweite (im Februar 2014)

Die dritte 0-Day-Schwachstelle des Jahres befindet sich im Flash Player. Und weil das so harmlos klingt: Es ist nicht nur die dritte 0-Day-Schachstelle des Jahres, sondern auch des Monats - die erste wurde von Adobe am 4. Februar behoben, am 13. Februar war dann Microsofts Internet Explorer fällig, und gestern musste Adobe wieder ran. Und jetzt sind erst mal Sie dran: Installieren Sie das Update so schnell wie möglich. Wer weiß schon, wie lange es dauert, bis der Exploit in den einschlägigen Exploit-Kits landet und ihm Rahmen von Drive-by-Infektionen verwendet wird?

Danach können Sie dann in Ruhe lesen, was bisher über die Schwachstelle und Angriffe bekannt ist:

20. Februar: Adobe veröffentlicht Updates

"0-Day-Schwachstelle im Flash Player, die zweite (im Februar 2014)" vollständig lesen

Clickjacking: Cross Origin Resource Jacking und ein Clickjacking-BeEF-PlugIn

Weiter geht es mit den Aktualisierungen zum Thema Clickjacking. In dieser Folge werden Cross Origin Resource Jacking (CORJacking) und ein Clickjacking-PlugIn für BeEF vorgestellt und die Probleme der X-Frame-Options-Header SAMEORIGIN-Option an zwei Beispielen gezeigt.

Statt Clickjacking CORJacking

"Clickjacking: Cross Origin Resource Jacking und ein Clickjacking-BeEF-PlugIn" vollständig lesen

Drucksache: Entwickler Magazin 2.2014 - Kryptografie im NSA-Zeitalter, Teil 2

Im Entwickler Magazin 2.2014 ist der zweite Artikel einer kleinen Serie über die Sicherheit kryptographischer Verfahren angesichts der NSA-Enthüllungen erschienen.

Seit der Veröffentlichung der von Edward Snowden geleakten NSA-Daten ist die Verunsicherung groß: Wo hat die NSA überall die Finger im Spiel? Was ist noch sicher? Welchen Protokollen kann man noch vertrauen? Ich werde versuchen, diese Fragen in einer kleinen Artikelserie zu beantworten. In dieser Folge geht es um asymmetrischer Verschlüsselung, bei der zum Ver- und Entschlüsseln verschiedene Schlüssel verwendet werden, und die aus symmetrischen und asymmetrischen Systemen kombinierten hybriden Systeme.

Und hier noch die Links und Literaturverweise aus dem Artikel:

"Drucksache: Entwickler Magazin 2.2014 - Kryptografie im NSA-Zeitalter, Teil 2" vollständig lesen

Drucksache: Entwickler Magazin 2.2014 - Die OWASP Top 10, Teil 1

Im Entwickler Magazin 2.2014 ist der erste Teil eines zweiteiligen Artikels über die OWASP Top 10, die zehn gefährlichsten Schwachstellen in Webanwendungen, erschienen.

Die Reihenfolge der Schwachstellen ergibt sich aus vier Faktoren:

  1. Die Wahrscheinlichkeit dafür, dass eine Webanwendung die Schwachstelle enthält ("Prevalence").
  2. Die Wahrscheinlichkeit dafür, dass ein Angreifer die Schwachstelle entdeckt ("Detectability").
  3. Die Wahrscheinlichkeit dafür, dass ein Angreifer die Schwachstelle erfolgreich ausnutzt ("Exploitability").
  4. Die typischen Folgen eines Angriffs ("Impact").

Los geht es mit den Plätzen 1 bis 5:

  • A1 - Injection
  • A2 - Broken Authentication and Session Management
  • A3 - Cross-Site Scripting (XSS)
  • A4 - Insecure Direct Object References
  • A5 - Security Misconfiguration

Und hier noch die Links und Literaturverweise aus dem Artikel:

"Drucksache: Entwickler Magazin 2.2014 - Die OWASP Top 10, Teil 1" vollständig lesen

Linksys, AVM, Asus - Router in Gefahr

Das Internet Storm Center warnt vor einem aktuell laufenden Massen-Angriff auf Linksys E1000 und E1200 Router. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt dringend die Installation der von AVM veröffentlichten Updates für die Fritz!Box. Und manche Asus-Router enthalten Schwachstellen, über die aus dem Internet ohne Zugangsdaten auf die Geräte zugegriffen werden kann.

Linksys-Router unter Beschuss

"Linksys, AVM, Asus - Router in Gefahr" vollständig lesen

Kommentare zu trickreichen Drive-by-Infektionen und mehr

Heute gibt es Kommentare zur 0-Day-Schwachstelle im Flash Player, einer neuen Taktik für Drive-by-Infektionen und Werbung für bösartige Installationsprogramme. Und gleich zu Anfang einen Hinweis zu Schadsoftware anlässlich der Olympischen Winterspiele. Allerdings nicht den aktuellen, sondern denen vor 20 Jahren - im Blog von F-Secure gibt es einen Artikel von Mikko Hypponen dazu: Malware and Winter Olympics. 1994 gab es einen Virus, heutzutage wird mit dem Lockvogel "Olympische Spiele" alles mögliche verbreitet.

Eigentlich wäre auch mal ein Kommentar zu den ganzen Angriffen auf und über Router und den Schwachstellen darin fällig, das häuft sich in letzter Zeit ja. Aber dazu werde ich erst ein oder zwei Grundlagenartikel schreiben, das Thema "Netzwerksicherheit" ist ja nach dem Clickjacking sowieso mit Aktualisierungen an der Reihe.

Kurz etwas zur 0-Day-Schwachstelle im Flash Player

"Kommentare zu trickreichen Drive-by-Infektionen und mehr" vollständig lesen

Drucksache: windows.developer Magazin 3.2014 - JavaScript in Angreiferhand

Im windows.developer 3.2014 ist ein Artikel über Angriffe über JavaScript erschienen.

JavaScript-Code kann so wie jedes andere Computerprogramm auch Schwachstellen enthalten, und so wie in jeder anderer Programmiersprache können auch in JavaScript Schadprogramme geschrieben werden. Beide Möglichkeiten werden natürlich von Angreifern ausgenutzt - warum sollten sie auch darauf verzichten?

Und den Angreifern bieten sich viele Mäglichkeiten, angefangen bei den klassischen XSS-Angriffen, denen in Zeiten von Web 2.0 und HTML5 viel mehr Möglichkeiten offen stehen, über Angriffe auf die immer stärker in den Client ausgelagerte Anwendungslogik bis zu Browser-basierten Botnets, die sich kaum entdecken lassen und nach dem Beenden des JavaScript-Schadcodes keinerlei Spuren auf dem Rechner hinterlassen.

Und hier noch die Links und Literaturverweise aus dem Artikel:

"Drucksache: windows.developer Magazin 3.2014 - JavaScript in Angreiferhand" vollständig lesen