| Willkommen 38.107.179.241 | |
| Online | Gäste: 15
Mitglieder: 0
Auf dieser Seite: 4
Mitglieder: 3287, neuestes ist digforlife |
| Neueste 5 Downloads |  Sophos A bis Z der Computersicherheit
Sophos, Allgemein (Dokumente), 20. Jul 08 : 12:10
Dieses Büchlein wird von Sophos zu Werbezwecken verdient. Es stellt in einem ersten Teil die Bedrohungen von A bis Z, wie man sie im Internet antrifft, vor. In gleicherweise werden im zweiten Teil Schutzmassnahmen erwähnt. Kurz und bündig wird so der Leser an die Materie herangeführt. Technische Details und weiterführende Diskussionen fehlen, so dass es wirklich nur als seichte Unterhaltung und Einführung gedacht ist.
eBay Hack (S.M.)
S.M. (aka. SevenUp), Social Hacking (Dokumente), 20. Jul 08 : 12:03
Dieses nicht unumstrittene Dokument bespricht Schritt für Schritt, wie ein technisch gestütztes Phishing per HTML-Email und PHP-Skript durchgeführt werden kann, um Login-Informationen für eBay abzufangen. Der Beitrag weist einige technische Fehler auf und ist zu grossen Teilen veraltet. Aus diesem Grund wird ihm primär nur noch historisches Interesse entgegengebracht.
Angriff und Verteidigung in Computernetzen
Alexander Koch, Allgemein (Dokumente), 20. Jul 08 : 11:57
Die leider etwas karge Präsentation beleuchtet verschiedene Gesetzesartikel, die auf Computerangriffe und Strike-Back-Verfahren angewendet werden können. Dabei werden sowohl die deutsche als auch die schweizerische Rechtssprechung berücksichtigt. Ein interessanter Beitrag, der die Gefahren von automatisierten Schutzmechanismen auf einer nicht-technischen Ebene zu verdeutlichen in der Lage ist.
Cross-Site Scripting (Compass)
Ivan Bütler, Webserver (Dokumente), 20. Jul 08 : 11:49
In diesem einfachen Artikel werden die Grundlagen von Cross Site Scripting-Attacken aufgezeigt. Dabei werden sowohl serverseitige als auch clientseitige Varianten besprochen und zudem darauf hingewiesen, dass sich dies mit jeglicher Art von Scripting (JavaScript, VBscript, etc.) durchsetzen lässt. Die Einfachheit des Papiers macht es vor allem für Einsteiger leicht zu lesen.
Internet Networking - Measuring Distance and Bandwidth between Hosts
Werner König, Netzwerke (Dokumente), 01. Apr 08 : 21:43
In dieser Seminararbeit werden diverse Algorithmen zur Berechnung von Bandbreiten bestimmter Verbindungen zwischen Hosts besprochen. Es werden Troughput, Pathchar und vor allem Packet Pair beschrieben sowie ihre Vor- und Nachteile dargestellt. Ein interessantes Gebiet, welches ausserhalb akademischer Bereiche fast keine Beachtung findet.
Zeige alle Downloads (902 Total) |
| Schon gewusst, dass... | ...der Phreaker John T. Draper sein Pseudonym "Captain Crunch" nach einer Kornflakes-Sorte benannt hat, in der er als Gimmick ein Pfeifchen fand, das für das Blueboxing erforderliche Pfeifen in der Höhe von 2600 Hz produzieren konnte?
Zeige alle Trivias (244 Total) |
| Zitat des Augenblicks (id 176) | "Mag sein, dass 'mein' digitaler Alltag der Normalwelt voraus ist - aber das ist eher das Problem der Normalwelt und nicht meins." - Wau Holland (1951-2001), Mitbegründer des Chaos Computer Club
Zeige alle Zitate (246 Total) |
| Buchtipp | 
C Programming Language
von Brian W. Kernighan und Dennis Ritchie |
| | Sie sind zur Zeit nicht angemeldet und haben deshalb nur Gast-Privilegien. Einige Funktionen (z.B. Postings, Kommentare, Bewertungen, Statistiken) sind deshalb deaktiviert. Zudem ist für Gäste in einigen Bereichen Werbung geschaltet.
Melden Sie sich an und loggen Sie sich ein, um Zugriff auf sämtliche Bereiche zu erhalten. |
| Security by Obscurity - Oder doch nicht? (Montag, 21. Mai 2012 - 08:37:26) |
 [Marc's Blog] Wer neu ist im Bereich Informationssicherheit, der stolpert als erstes Mal über den Ausdruck "Security by Obscurity". Nicht nur in der Kryptologie wird gelehrt, dass ein System nicht sicher sein kann, indem nur die Eigenschaften dessen geheim gehalten werden. Denn irgendwann werden sie preisgegeben oder herausgefunden, so dass die Geheimhaltung kein Vorteil mehr darstellen kann. Dann nämlich wird sich herausstellen, ob das System nun wirklich unbrechbar ist - oder halt eben nicht.
Als Einsteiger ereifert man sich dann schnell, wenn man jemandem vorhalten kann, dass "Security by Obscurity" nicht funktionieren kann. Man freut sich wahrscheinlich umso mehr, da man selber - vor dem Erlangen der besagten Erkenntnis - dieser Meinung gewesen war. Und nun ist man schliesslich weiter und möchte das auch jedem zeigen. In seinen Grundzügen ist das auch gut so, agiert man schliesslich im Sinne der Wahrheit.
Doch so einfach sich dieses Schwarz-Weiss-Denken anfühlt, desto so schwieriger wird es, dieses im richtigen Leben durchsetzen zu können. Wann beginnt Security by Obscurity? Ist nicht aller Schutz von geheimen Informationen auf Security by Obscurity fussend? Und ist wirklich alle Security by Obscurity schlecht? Ich bin ziemlich sicher, dass die wenigsten diese Fragen beantworten können. Ich bin mir nicht mal sicher, ob ich die richtigen Antworten bereithalten kann.
Gehen wir davon aus, dass ich ein Verschlüsselungssystem nutze. Dieses basiert auf dem Einsatz eines geheimen Passworts. Das System selbst lege ich mit all seinen Spezifikationen offen. Das Passwort bleibt aber naturgemäss geheim. Betreibe ich dann nicht Security by Obscurity? Schliesslich verhindere ich die Veröffentlichung des Passworts. Mancherorts wird ein Passwort schliesslich als "Pre-Shared-Secret" (zum Beispiel bei WLAN und IPsec) bezeichnet. Wäre ein Verschlüsselungssystem, das auf einem nicht-geheimen Authentisierungsmerkmal beruht, nicht das einzig wahre System? Ist Biometrie der evolutionär nächste Schritt? Ist mein Fingerabdruck oder die Beschaffenheit meiner Retina geheim?
Okay, ich gebe zu, das erstgenannte Beispiel vermag nicht ganz zu überzeugen. Gehen wir nun davon aus, dass ich eine Netzwerkumgebung einsetze, in der ein SSH-Dienst zur Fernwartung angeboten wird. Um unerwünschte Zugriffe zu erschweren, wird dieser nicht an den Standardport tcp/22, sondern an den untypischen Port tcp/1222 gebunden. Betreibe ich hier schon Security by Obscurity? Falls ja, ist dies die schlechte Form von Security by Obscurity? Oder habe ich einen echten, wenn auch nur zeitlich stark begrenzten, Vorteil erarbeitet?
Im Rahmen dieser Diskussion komme ich zum Schluss, dass Sicherheit ohne Geheimhaltung - mindestens von einzelnen Komponenten - nicht betrieben werden kann. Dabei ist aber wichtig zu berücksichtigen, dass die Sicherheit eines Systems nicht alleine auf der Geheimhaltung beruhen darf. Ein Verschlüsselungssystem darf geheime Passwörter nutzen. Und ein SSH-Dienst darf an einen alternativen Port gebunden werden. Aber die Verschlüsselung muss dennoch möglichst stark und der SSH-Dienst gut gewartet (z.B. Firewalling, Hardening und Monitoring) sein. Denn das alleinige Geheimhalten ihrer Existenz darf nicht die einzige Komponente zur Erlangung und Wahrung ihrer Sicherheit sein.
|
| Dinge ändern sich (Montag, 16. April 2012 - 08:48:35) |
[Marc's Blog] Als Kind und Jugendlicher war mir vor allem eines wichtig: Integrität. Das ist mir auch heute noch wichtig. Doch Durchsetzungsvermögen ohne Kompromissbereitschaft darf nicht fälschlicherweise als Integrität verstanden werden.
Ich hörte lange Zeit Punkrock und konnte mit anderen Stilrichtungen so gar nichts anfangen. Bands wie Exploited (Welch Ironie des Schicksals!) und Abstürzende Brieftauben sollten in erster Linie aus meinem Kassettengerät scheppern. Als mein bester Freund dann plötzlich anfing Grunge und dieses mühsame Gekrächze von Nirvana zu hören, fühlte ich mich verraten. Doch nur wenige Jahre später vollzog auch ich die Transition und konnte mich plötzlich für The Offspring und Alice in Chains begeistern. Im späteren Verlauf wurde mir sogar Metal (Metallica), Rock (Jimi Hendrix), Hip Hop (Beastie Boys) und Dubstep (Skrillex) schmackhaft. Das sah ich aber stets als Erweiterung meines Horizonts, denn ich wusste sehr genau, wo die Wurzeln meines Musikgeschmacks liegen sollten.
Im Bereich der Informationstechnologie scheine ich eine ähnliche Transition bzw. Erweiterung meinerseits beobachtet zu haben. Mitte der 90er Jahre durch das Verhalten von Microsoft angewiedert, setzte ich mehr als 5 Jahre ausschliesslich Linux ein. Angefangen mit SuSE und Red Hat bin ich dann schnell bei Debian gelandet und bis heute da geblieben. Auch viele andere alternative Betriebssysteme wollte ich kennenlernen: OS/2, Sun Solaris, OpenBSD, BeOS, QNX - Um nur mal einige zu nennen. Heute setze ich aber auch wieder Windows ein. Mein schier religiöser Eifer des Linux-Puristen ist einem lösungsorientierten Denken gewichen. Denn so hat jedes Betriebssystem seine Vorteile, die es zum richtigen Zeitpunkt zu nutzen gilt.
Meine Einstellung zu sozialen Netzen hat sich in den letzten 15 Jahren auch gewandelt. Als einer der Beta-Tester von OpenBC - so hiess Xing bei seinem Start - konnte ich mich so gar nicht dafür erwärmen. Zwischenmenschliche Kontakte schienen mir bedeutend wichtiger, um Geschäfte machen zu können. Dieser Grundsatz gilt zwar bis heute, soll aber nicht dass Nutzen von Business Networks ausschliessen. Neben Xing und LinkedIn bin ich mittlerweile selbst auf Facebook (nur privat) und Twitter (momentan 1230 Follower) aktiv. Und ich möchte diese Sozialen Netze nicht mehr missen.
Bei vielen Menschen würde ich mir manchmal wünschen, dass sie sich bewusst werden, was sie mögen, aus welchen Gründen sie es mögen und welche Alternativen es gibt. Dieser Wunsch ist nicht nur auf den Bereich der Informationstechnologie beschränkt. Auch in anderen Lebensbereichen - sei dies nun eine politische Einstellung oder das Bevorzugen einer Automarke - kann eine solche Offenheit für alle nur von Vorteil sein. Und ich hoffe, dass ich mein ganzes Leben daran arbeiten darf, mich mit neuen Möglichkeiten auseinandersetzen zu können.
|
| Was macht ein gutes Firewall-Regelwerk aus? (Montag, 2. April 2012 - 08:21:17) |
[Marc's Blog] Seit der Gründung unseres Unternehmens im Jahr 2002 führen wir sogenannte Firewall Rule Reviews durch - Tatsächlich war das erste Projekt eine eben solche. Dabei wird das Regelwerk einer Firewall auf seine Sicherheit hin untersucht.
Typische Fehler sind hierbei grosszügige Regelsätze, die sich bis zu unliebsamen ANY-Rules erstrecken können. Oft sind es aber einfach nur lax gesetzte Subnetzmasken oder breit gefächerte IP-Adressbereiche. Ein Fehler, der oftmals auf geringes Interesse oder fehlendes Verständnis für die eingesetzten Netzwerkapplikationen zurückzuführen ist. In vielen Fällen können ja noch nicht mal die Entwickler genau sagen, welche Ports eine Anwendung nun benötigen wird.
Ein anderes typisches Problem sind unsauber durchgesetzte Gruppierungen. Da werden beispielsweise Rechner aus unterschiedlichen Netzbereichen - die wiederum unterschiedlichen Sicherheitsanforderungen unterliegen - in einer Regel zusammengefasst. Oder man kombiniert schon beinahe willkürlich irgendwelche Ports bzw. Dienste, um sie in einer einzelnen Regel einzusetzen. Im erster Fall kann dies zu einer krassen Abschwächung der Netzwerksicherheit führen. Im zweiten Fall kämpft man meistens mittelfristig mit den administrativen Tücken dieser Nachlässigkeit.
Gerne wird aber vergessen, dass ein gut gewartetes Firewall-Regelwerk ebenso Logging-Mechanismen berücksichtigt und eine umfassende Dokumentation aufweist. Beides sind Aspekte, die man oftmals nicht direkt der Sicherheit eines Netzwerks anrechnen würde. Die Erfahrung hat aber gezeigt, dass diese Ansätze massgeblich zur Vitalität einer Umgebung beitragen können. Vielleicht nicht heute, aber spätestens morgen. Und genau aus diesem Grund bemängeln wir nicht nur technische Fehler bei einer entsprechenden Untersuchung, sondern wir versuchen ebenfalls konzeptionelle und organisatorische Bereiche abzudecken.
|
|
1989: Vermuteter Todestag von Karl Koch
