Einträge von Carsten Eilers | Dipl.-Inform. Carsten Eilers

Wie funktioniert EFAIL und wie schlimm ist das alles wirklich?

Geschrieben von Carsten Eilers am Freitag, 28. Dezember 2018 um 10:00

Eine E-Mail ist wie eine Postkarte in der Briefpost: Wer sie sieht, kann sie lesen. Deshalb sollte man eigentlich nur verschlüsselte Mails verschicken, die dieses unbefugte Lesen verhindern. Über die EFAIL-Angriffe kann die Verschlüsselung aber ausgehebelt werden. Ist das wirklich die große Katastrophe, als die es dargestellt wird?

Wie EFAIL funktioniert und wie schlimm die Angriffe sind erfahren Sie in meinem Artikel auf entwickler.de!

Carsten Eilers

Drucksache: You’ve been hacked! - Alles über Exploits gegen Webanwendungen

Geschrieben von Carsten Eilers am Freitag, 21. Dezember 2018 um 09:06

Heute ist im Rheinwerk Verlag mein Buch "You’ve been hacked! - Alles über Exploits gegen Webanwendungen" erschienen.

Darin erfahren Sie

welche Schwachstellen es in Webanwendungen gibt,
wie die Cyberkriminellen diese ausnutzen können und in einigen Fällen auch "in the wild" ausgenutzt haben,
wie Sie die Schwachstellen selbst finden können und
wie Sie sie entweder beheben oder zumindest die Angriffe darauf abwehren können.

"Drucksache: You’ve been hacked! - Alles über Exploits gegen Webanwendungen" vollständig lesen

Microsofts SDL, Phase 5 (Verification) und 6 (Release)

Geschrieben von Carsten Eilers am Donnerstag, 20. Dezember 2018 um 08:25

Microsofts Security Development Lifecycle besteht aus 7 Phasen, von denen ich Phase 1 und 2 sowie Phase 3 und 4 bereits beschrieben habe. Weiter geht es mit

Phase 5: Verification

"Microsofts SDL, Phase 5 (Verification) und 6 (Release)" vollständig lesen

Drucksache: Entwickler Magazin 1.19: Wie sicher sind die Mobilfunknetze?

Geschrieben von Carsten Eilers am Donnerstag, 13. Dezember 2018 um 08:07

Im Entwickler Magazin 1.19 ist ein Artikel über die Sicherheit der Mobilfunknetze erschienen.

Wenn der US-Präsident telefoniert, lauschen die Chinesen und Russen. Das hat die New York Times im Oktober herausgefunden.

Na, da lege ich doch gleich mal einen drauf: Wenn der russische Präsident telefoniert, lauschen bestimmt die Amerikaner und Chinesen. Und beim chinesischen Präsidenten spitzen garantiert Russen und Amerikaner die Ohren. Oder jedenfalls tun die Geheimdienste ihre Bestes, um Lauschen zu können.

"Drucksache: Entwickler Magazin 1.19: Wie sicher sind die Mobilfunknetze?" vollständig lesen

Microsofts SDL, Phase 3 (Design) und 4 (Implementation)

Geschrieben von Carsten Eilers am Donnerstag, 13. Dezember 2018 um 07:58

Microsofts Security Development Lifecycle besteht aus 7 Phasen, von denen ich die ersten beiden bereits beschrieben habe. Weiter geht es mit

Phase 3: Design

"Microsofts SDL, Phase 3 (Design) und 4 (Implementation)" vollständig lesen

Drucksache: Windows Developer 1.19 - Wie sicher ist SOAP?

Geschrieben von Carsten Eilers am Freitag, 7. Dezember 2018 um 10:00

Im Windows Developer 1.19 ist ein Artikel über die Sicherheit von SOAP erschienen.

Eine Leseprobe des Artikels gibt es auf entwickler.de.

SOAP war ursprünglich die Abkürzung für "Simple Object Access Protocol", aber seit der Version 1.2 wird diese Erklärung nicht mehr verwendet. Denn SOAP ist nicht unbedingt "Simple", und auf keinen Fall nur auf den Zugriff auf "Objects" beschränkt. Nun sagt uns die Erfahrung aber ganz eindeutig: Wenn etwas nicht einfach ist wird es schnell zur Gefahrenquelle. Entweder weil die Implementierungen Schwachstellen aufweisen oder eine sichere Nutzung unnötig erschwert wird. Wie sieht es denn in der Hinsicht bei SOAP aus?

"Drucksache: Windows Developer 1.19 - Wie sicher ist SOAP?" vollständig lesen

Microsofts SDL, Phase 1 (Training) und 2 (Requirements)

Geschrieben von Carsten Eilers am Donnerstag, 6. Dezember 2018 um 07:44

Microsofts Security Development Lifecycle besteht aus 7 Phasen, die ich ab dieser Folge vorstelle. Los geht es natürlich mit

Phase 1: Training

"Microsofts SDL, Phase 1 (Training) und 2 (Requirements)" vollständig lesen

Admin-Tools - Verwaltungswerkzeuge und Sicherheitslücken

Geschrieben von Carsten Eilers am Freitag, 30. November 2018 um 10:00

Alles, was ein Admin zur Verwaltung eines Rechners oder Netzes verwendet, ist für einen Angreifer von besonderem Interesse. Zum einen, weil diese Tools im Allgemeinen mit erhöhten Rechten laufen – und die möchten die Angreifer natürlich auch haben. Zum anderen, weil sie für genau die Aufgaben zuständig sind, die die Angreifer benötigen, um die vollständige Kontrolle über System und/oder Netzwerk zu erlangen.

Dass diese Tools von besonderem Interesse für Angreifer sind, wissen natürlich auch die Sicherheitsforscher, weshalb sie immer wieder prüfende Blicke auf diese Tools werfen.

Was sie dabei herausgefunden haben erfahren Sie in meinem Artikel auf entwickler.de!

Carsten Eilers

Microsofts Security Development Lifecycle - Eine Einführung

Geschrieben von Carsten Eilers am Donnerstag, 29. November 2018 um 07:58

Dank des Security Development Lifecycle, kurz SDL, konnte Microsoft die Anzahl an nach der Veröffentlichung einer Software entdeckten Schwachstellen drastisch reduzieren. Und das ist eigentlich gar nicht so schwer, wie es auf den ersten Blick scheint.

Startschuss am 15. Januar 2002

"Microsofts Security Development Lifecycle - Eine Einführung" vollständig lesen

Security Policy - Ein einfaches Beispiel, Teil 3

Geschrieben von Carsten Eilers am Donnerstag, 22. November 2018 um 08:00

In dieser Folge geht es mit der Entwicklung der Sicherheitsrichtline (Security Policy) für das Beispielunternehmen "Bratkartoffel KG" weiter.

Die technischen Schutzmaßnahmen für Web-, Application- und Datenbankserver haben wir bereits festgelegt, ebenso die dazu gehörenden organisatorischen Schutzmaßnahmen sowie der Schutz der internen Server. Jetzt ist der Schutz des restlichen Netzes an der Reihe.

Der Rest vom Netz

"Security Policy - Ein einfaches Beispiel, Teil 3" vollständig lesen

Mo	Di	Mi	Do	Fr	Sa	So
← Zurück	April '24
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30