Skip to content

Das große Problem mit den Patches und Updates

Zur Zeit gibt es zwei Probleme, die auf die problematische Verbreitung von Patches und Updates hinweisen: Die Installation der Patches für die Heartbleed-Schwachstelle in OpenSSL scheint nicht mehr voran zu kommen, und im WordPress-Plugin TimThumb wurde eine kritische 0-Day-Schwachstelle im WebShots-Code behoben.

"Das große Problem mit den Patches und Updates" vollständig lesen

SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2010

2010 war für SCADA-Systeme und Industriesteuerungen ein ereignisreiches Jahr: Erst wurden sie von Stuxnet angegriffen, und dann erregten sie auch noch die Aufmerksamkeit der Sicherheitsforscher. Dabei wollten sie doch nur in Ruhe gelassen und nicht von Angriffen belästigt werden. Denn denen hatten sie fast nichts bis gar nichts entgegen zu setzen. Wer rechnet auch damit, dass irgend jemand ausgerechnet Industriesteuerungen angreifen würde, nur weil man die mal eben mit dem Internet verbunden hat? Ja, aber warum denn nicht?

Dieser und die Folgeartikel dienen auch als Ergänzung zu einem Artikel im Entwickler Magazin 5.2014, in dem für die hier aufgeführten Erkenntnisse kein Platz mehr war.

"SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2010" vollständig lesen

Drucksache: Entwickler Magazin Spezial "Internet of Things" - Risiken und Gefahrenpotenziale in der Heimautomation

Auch im hier bereits angekündigten und nun erschienenen Entwickler Magazin Spezial "Internet of Things" ist mein Artikel über die Risiken und Gefahrenpotenziale in der Heimautomation erschienen.

"Drucksache: Entwickler Magazin Spezial "Internet of Things" - Risiken und Gefahrenpotenziale in der Heimautomation" vollständig lesen

Die Heimautomation auf Sicherheitskonferenzen - als Thema, nicht im Einsatz

Auf den Sicherheitskonferenzen kommt sicher auch jede Menge Heimautomation zum Einsatz, hier geht es aber um die Sicherheit des "Internet of Things" und speziell der Heimautomation als Thema der Sicherheitsforscher.

Beim Schreiben des Artikels für das Entwickler Magazin Spezial "Internet of Things" und das Entwickler Magazin 4.14 sind einige interessante Vorträge übrig geblieben. Der Platz im Heft ist natürlich begrenzt, und das schränkt auch die Länge meiner Artikel ein. Zum Leidwesen der Redakteure kann ich ja fast alles, nur mit dem Schreiben kurzer Artikel habe ich gewisse Probleme. Die werden einfach immer länger als eigentlich geplant. Daher muss ich dann meist schweren Herzens irgend etwas weglassen oder kürzen.

Themen, die es nicht in den Artikel geschafft haben

"Die Heimautomation auf Sicherheitskonferenzen - als Thema, nicht im Einsatz" vollständig lesen

Kommentare zu etwas wichtigen und manchem eher "dummen"

Heute gibt es mit einer Ausnahme Kommentare zu Sachen, die in die Kategorie "Dumm (gelaufen)" gehören. Die Ausnahme ist dafür um so wichtiger:

Die US-Nachrichtenagentur "National Public Radio" (NPR) hat das "Project Eavesdrop" durchgeführt und ausprobiert, was sich bei der NSA-artigen Überwachung eines Home-Offices alles rausfinden lässt: "Project Eavesdrop: An Experiment At Monitoring My Home Office" (via Sophos Naked Security). Die Antwort: Viel zu viel. Ich wusste das zwar schon immer, aber ich bin ja auch berufsbedingt chronisch misstrauisch und suche überall erst mal das Negative. Für viele andere, die sich bisher von den Datensammeleien nicht betroffen fühlen, ist das Ergebnis hoffentlich ein Weckruf.

Dumme Smart-TVs

"Kommentare zu etwas wichtigen und manchem eher "dummen"" vollständig lesen

GameOver Zeus - Der Name eines Botnets wird zum Programm

Einige Cyberkriminellen fanden den Namen "GameOver" so toll, dass sie ihn für ihr Zeus-Botnet verwendeten. Sie haben vermutlich nicht erwartet, das irgend wann jemand diesen Namen wörtlich nehmen und das "Spiel" beenden würde. Ende Mai war es soweit: Im Rahmen der "Operation Tovar" gingen Strafverfolgungsbehörden, Sicherheitsunternehmen und Sicherheitsforscher weltweit gegen die Hintermänner dieses Botnets und der darüber verteilten Ransomware CryptoLocker vor.

Verbrechen lohnt sich nicht? Dieses schon!

Jedenfalls wenn die Hintermänner nicht gefasst werden. Denn die haben gewaltig abkassiert.

"GameOver Zeus - Der Name eines Botnets wird zum Programm" vollständig lesen

Kommentare zu OpenSSL, Heartbleed, Windows PowerShell und einem Android-Schädling

Heute gibt es mal wieder eine bunte Mischung an Kommentaren: Zu den neuen OpenSSL-Schwachstellen, einer neuen Variante des Heartbleed-Angriffs, neuen Schädlingen die die PowerShell nutzen, und einem Dateien verschlüsselnden Android-Schädling.

MitM zwischen OpenSSL-Client und OpenSSL-Server

"Kommentare zu OpenSSL, Heartbleed, Windows PowerShell und einem Android-Schädling" vollständig lesen

Wasserloch-Angriffe, Teil 2: Ein Angriff mit gefälschter Website

Ab dieser Folge geht es weiter um Wasserloch-Angriffe. Die Veröffentlichung des erste Teils ist ja schon einige Zeit her, aber aktuelle Themen gehen bekanntlich vor. Wie angekündigt, werden ab dieser Folge einige Wasserloch-Angriffe genauer betrachtet.

Ein Wasserloch-Angriff mit gefälschter Website

"Wasserloch-Angriffe, Teil 2: Ein Angriff mit gefälschter Website" vollständig lesen

Kommentare zur NSA, Edward Snowdens Mails und TrueCrypts Einstellung

Wirklich Kommentierenswertes ist in der vorigen Woche eigentlich wenig passiert. Zum Ransomware-Angriff auf iCloud-Nutzer habe ich schon etwas geschrieben, und ansonsten gibt es eigentlich nur noch zwei wichtige Themen, beide mit NSA-Bezug: Die Veröffentlichung einer Mail Edward Snowdens durch die NSA, um etwas zu beweisen, was sich so nicht beweisen lässt. Und das mysteriöse "Verschwinden" von TrueCrypt. An dem die NSA ebenso schuldig wie unschuldig sein kann.

Mails sind kein Beweise, von der NSA erst recht nicht

"Kommentare zur NSA, Edward Snowdens Mails und TrueCrypts Einstellung" vollständig lesen