Skip to content

Da hat was gehakt...

Oder besser: Gefehlt. Ich hatte den Grundlagen-Text für gestern zwar eigentlich schon Mittwoch Abend in voraus veröffentlicht, damit er um 9 Uhr online geht. Leider hatte ich vergessen, in s9y von "Entwurf" auf "Veröffentlichung" zu wechseln. Daher wartete der Artikel weiter brav in der Datenbank auf seine Freigabe. Die habe ich ihm eben natürlich sofort erteilt. Eigentlich wollte ich ja nur den Tweet nachreichen, da die Twitter-Ankündigung nicht in Vorraus funktioniert. Klarer Fall von "Dumm gelaufen".

Wohin man sieht: Angriffsziel Webbrowser

Webbrowser sind zur Zeit sehr beliebt. Sowohl bei den Cyberkriminellen und "staatlich gesponserten Angreifern" (siehe die 0-Day-Schwachstellen im IE) als auch bei den Sicherheitsforschern (siehe Pwn4Fun, Pwn2Own und Pwnium). Und zumindest teilweise spielen die den Angreifern in die Hände.

(Wenig) Neues zur 2. IE-0-Day-Schwachstelle

"Wohin man sieht: Angriffsziel Webbrowser" vollständig lesen

Die CeBIT 2014 - Ein paar neue Forschungsergebnisse

Über den Versuch der CeBIT, eine Fachbesucher-Messe zu imitieren, werde ich vielleicht am Montag etwas schreiben. Hier soll es um ein paar interessante Neuvorstellungen gehen. Besonders viele gibt es nicht, das merkt man ja schon zum Beispiel am Heise-Ticker. Früher war mehr Lametta, in Form von "CeBIT"-Markierungen vor den Meldungen. Und früher gab es (nicht nur bei Heise) jeden Tag Meldungen über Neuvorstellungen, bei denen ich gedacht habe "Das klingt Interessant, das musst du dir auch mal ansehen". Dieses Jahr gab es davon gerade mal zwei. Aber kommen wir zu den Sachen, die mir aufgefallen sind.

Drei Firewalls sind besser als eine

"Die CeBIT 2014 - Ein paar neue Forschungsergebnisse" vollständig lesen

Drucksache: PHP Magazin 3.2014 - Zwei-Faktor-Authentifizierung - Doppelt hält besser

Im PHP Magazin 3.2014 ist ein Artikel über die Zwei-Faktor-Authentifizierung erschienen. Die Kombination aus Benutzername und Passwort reichte lange aus, um einen Benutzer sicher zu identifizieren. Inzwischen gelangen diese Zugangsdaten immer öfter in falsche Hände. Also muss ein zusätzlicher Faktor die Authentifizierung absichern, wenn man wirklich auf Nummer Sicher gehen will.

"Drucksache: PHP Magazin 3.2014 - Zwei-Faktor-Authentifizierung - Doppelt hält besser" vollständig lesen

Drucksache: WIK 1.2014 - Googlest du noch oder hackst du schon?

In der WIK - Zeitschrift für die Sicherheit der Wirtschaft 2014/1 ist ein Artikel über das Google Hacking erschienen. Vorgestellt werden Google-Hacking, die Google Hacking Database, SHODAN und einige ausgewählte Angriffe.

Und hier noch die Links und Literaturverweise aus dem Artikel:

"Drucksache: WIK 1.2014 - Googlest du noch oder hackst du schon?" vollständig lesen

IE: Microsoft patcht bekannte und neue 0-Day-Schwachstelle

Microsoft hat heute mit den Updates zum Security Bulletin MS14-012 die Mitte Februar bekannt gewordene 0-Day-Schwachstelle im IE mit der CVE-ID CVE-2014-0322 behoben. Und ganz nebenbei eine weitere 0-Day-Schwachstelle im IE enthüllt und gleichzeitig gepatcht.

Neues zur "alten" 0-Day-Schwachstelle

"IE: Microsoft patcht bekannte und neue 0-Day-Schwachstelle" vollständig lesen

Neuer Angriff auf TLS beim Einsatz von Client-Zertifikaten

Es wurde ein neuer Angriff auf das TLS-Protokoll entdeckt, der den Einsatz von Client-Zertifikaten betrifft: Verbindet sich ein TLS-Client mit einem bösartigen Server und präsentiert dem sein Zertifikat, kann der Server sich gegenüber einen anderen Server, der dieses Zertifikat akzeptiert, als der betreffende Benutzer ausgeben.

Drei Handshakes sind gefährlich

"Neuer Angriff auf TLS beim Einsatz von Client-Zertifikaten" vollständig lesen

Neues zur iOS-Sicherheit, bösartigen E-Mails und Überwachungsmöglichkeiten

Heute gibt es mal wieder eine bunte Mischung an Kommentaren. Los geht es mit einem Hinweis auf eine Diskussion im Blog von Bruce Schneier: Ist die "GOTO FAIL"-Lücke in iOS und Mac OS X Mavericks ein Fehler oder eine absichtliche Hintertür?

Neues zur iOS-Sicherheit

"Neues zur iOS-Sicherheit, bösartigen E-Mails und Überwachungsmöglichkeiten" vollständig lesen