Eine E-Mail ist wie eine Postkarte in der Briefpost: Wer sie sieht, kann
sie lesen. Deshalb sollte man eigentlich nur verschlüsselte Mails
verschicken, die dieses unbefugte Lesen verhindern. Über die
EFAIL-Angriffe kann die Verschlüsselung aber ausgehebelt werden. Ist
das wirklich die große Katastrophe, als die es dargestellt wird?
Wie EFAIL funktioniert und wie schlimm die Angriffe sind erfahren Sie in
meinem Artikel
auf entwickler.de!
Im
Entwickler Magazin 1.19
ist ein Artikel über die Sicherheit der Mobilfunknetze erschienen.
Wenn der US-Präsident telefoniert, lauschen die Chinesen und Russen. Das
hat die New York Times
im Oktober herausgefunden.
Na, da lege ich doch gleich mal einen drauf: Wenn der russische
Präsident telefoniert, lauschen bestimmt die Amerikaner und Chinesen.
Und beim chinesischen Präsidenten spitzen garantiert Russen und
Amerikaner die Ohren. Oder jedenfalls tun die Geheimdienste ihre Bestes, um
Lauschen zu können.
Eine
Leseprobe
des Artikels gibt es auf entwickler.de.
SOAP war ursprünglich die Abkürzung für "Simple Object
Access Protocol", aber seit der Version 1.2 wird diese Erklärung
nicht mehr verwendet. Denn SOAP ist nicht unbedingt "Simple", und
auf keinen Fall nur auf den Zugriff auf "Objects" beschränkt.
Nun sagt uns die Erfahrung aber ganz eindeutig: Wenn etwas nicht einfach
ist wird es schnell zur Gefahrenquelle. Entweder weil die Implementierungen
Schwachstellen aufweisen oder eine sichere Nutzung unnötig erschwert
wird. Wie sieht es denn in der Hinsicht bei SOAP aus?
Alles, was ein Admin zur Verwaltung eines Rechners oder Netzes verwendet,
ist für einen Angreifer von besonderem Interesse. Zum einen, weil
diese Tools im Allgemeinen mit erhöhten Rechten laufen – und die
möchten die Angreifer natürlich auch haben. Zum anderen, weil
sie für genau die Aufgaben zuständig sind, die die Angreifer
benötigen, um die vollständige Kontrolle über System
und/oder Netzwerk zu erlangen.
Dass diese Tools von besonderem Interesse für Angreifer sind, wissen
natürlich auch die Sicherheitsforscher, weshalb sie immer wieder
prüfende Blicke auf diese Tools werfen.
Was sie dabei herausgefunden haben erfahren Sie in meinem Artikel
auf entwickler.de!
Dank des Security Development Lifecycle, kurz SDL, konnte Microsoft die
Anzahl an nach der Veröffentlichung einer Software entdeckten
Schwachstellen drastisch reduzieren. Und das ist eigentlich gar nicht so
schwer, wie es auf den ersten Blick scheint.
In dieser Folge geht es mit der Entwicklung der Sicherheitsrichtline
(Security Policy) für das Beispielunternehmen "Bratkartoffel
KG" weiter.
Die technischen Schutzmaßnahmen für Web-,
Application- und Datenbankserver haben wir bereits
festgelegt,
ebenso die dazu gehörenden
organisatorischen Schutzmaßnahmen
sowie der Schutz der internen Server. Jetzt ist der Schutz des restlichen
Netzes an der Reihe.