In dieser Folge geht es mit der Entwicklung der Sicherheitsrichtline (Security Policy) für das in der vorherigen Folge vorgestellte Beispielunternehmen weiter.
Die technischen Schutzmaßnahmen für Web-, Application- und Datenbankserver haben wir bereits festgelegt, jetzt sind die dazu gehörenden organisatorischen und administrativen Schutzmaßnahmen an der Reihe.
Wie angekündigt werde ich ab dieser Woche die Entwicklung einer Sicherheitsrichtlinie (Security Policy) an einem Beispiel beschreiben. Da das ein sehr komplexer Vorgang ist werde ich jedoch "nur" das Netzwerk betrachten, und auch kann ich nur Teilaspekte berücksichtigen.
"Security Policy - Ein einfaches Beispiel, Teil 1" vollständig lesenIm PHP Magazin 1.2019 ist der fünfte und letzte Artikel einer kleinen Serie zu den OWASP Top 10, den 10 gefährlichsten Bedrohungen für Webanwendungen, erschienen. Und darin geht es um Platz 9 und 10 der Top 10: "Using Components with Known Vulnerabilities" und "Insufficient Logging".
Das Open Web Application Security Project (OWASP) hat im Herbst 2017 seine Top 10 der größten Bedrohungen für Webanwendungen veröffentlicht. In diesem Artikel im PHP Magazin lernen Sie den neunten und zehnten Platz kennen.
"Drucksache: PHP Magazin 1.19 - OWASP Top 10, Platz 9 und 10 - "Components with Known Vulnerabilities" und "Insufficient Logging"" vollständig lesenIm Windows Developer 12.18 ist ein Artikel über die Sicherheit der REST-Architektur erschienen.
Gibt es beim REST, dem "Representional State Transfer" eigentlich irgend was zu schützen? Und wenn ja, wo und wie? Und wieso?
"Drucksache: Windows Developer 12.18 - Was tun gegen die REST-Unsicherheit?" vollständig lesenDie in der vorherigen Folge vorgestellten technischen Möglichkeiten zum Schutz eines Netzwerks sind ziemlich nutzlos ohne ein passendes organisatorisches Konzept: Die Sicherheitsrichtlinie (Security Policy).
In dieser Folge geht es um den Zusammenhang zwischen Firewalls, Intrusion Detection- und -Prevention-Systemen und Honeypots. Zum einen, weil ich das Material als Link-Ziel brauche, zum anderen als kleiner Vorgriff auf das nächste Thema: Die Security Policy.
Der erste Schritt beim Schutz eines Netzes besteht darin, keine unnötigen Dienste anzubieten, also vor allem keine nicht benötigten Ports offen zu haben. Beim Schutz eines Gebäudes würde das bedeuten, keine unbenutzten Türen oder Fenster offen stehen zu lassen.
Über die vorgestellten Relay-Angriffe sind EMV-Karte zumindest theoretisch gefährdet, und es gab auch schon Angriffe "in the Wild" auf das kontaktbehaftete Chip&PIN-Verfahren. Aber das ist nur die eine Seite der Medaille, bzw. des Point-of-Sale-Terminals. Das kommuniziert ja nicht nur mit der Karte, sondern auch mit dem Kassensystem des Händlers und dem Server des zugehörigen Zahlungsdienstleisters.
Eine E-Mail ist wie eine Postkarte in der Briefpost: Wer sie sieht, kann sie lesen. Deshalb sollte man eigentlich nur verschlüsselte E-Mails verschicken, die das unbefugte Lesen verhindern. Zusätzlich (aber auch unabhängig davon) kann man seine Mails mit einer digitalen Signatur vor unerkannten Manipulationen schützen und seine Identität als Absender beweisen.
Wie die E-Mail-Verschlüsselung allgemein funktioniert erfahren Sie in meinem Artikel auf entwickler.de!
Nach den Grundlagen des kontaktlosen Bezahlens mit Smartphone oder NFC-fähiger Zahlkarte habe ich zunächst einige wenig aussichtsreichen Angriffe vorgestellt. Danach ging es um die mehr Erfolg versprechenden Relay-Angriff sowie deren Optimierung. Diese Relay-Angriffe erfordern den koordinierten Einsatz von zwei Kriminellen, aber auch Relay-Angriff ohne 2. Mann sind möglich.
Im Entwickler Magazin 6.18 ist ein Artikel über die EFAIL-Angriffe auf die E-Mail-Verschlüsselung erschienen: Wie funktioniert EFAIL und wie schlimm ist das alles wirklich?
Der war auch der Auslöser für die drei Artikel zu den Mailformaten in den vergangenen drei Wochen.
Update 15.10.18:
Wie die E-Mail-Verschlüsselung allgemein funktioniert erfahren Sie im
ersten Teil dieses zweiteiligen Artikels, und den gibt es jetzt online
auf entwickler.de!
Ende des Updates
Update 28.12.18:
Auch den Artikel zu EFAIL gibt es jetzt online
auf entwickler.de!
Ende des Updates
Eine E-Mail ist wie eine Postkarte in der Briefpost: Wer sie sieht, kann sie lesen. Weshalb man eigentlich nur verschlüsselte Mails verschicken sollte, die dieses unbefugte Lesen verhindern. Über die EFAIL-Angriffe kann die Verschlüsselung ausgehebelt werden. Ist das wirklich die große Katastrophe, als die es dargestellt wird?
"Drucksache: Entwickler Magazin 6.18: EFAIL - Angriff auf verschlüsselte Mails" vollständig lesen