_
Hauptmenu
News
Verwundbarkeitsdatenbank
Downloads
- Dokumente
- Software
- Filme
- Guides
Projekte
- Attack Tool Kit
- codEX
- ComInt
- Compupedia
- Computec Online Adventure
- eLearn
- Entropia
- httprecon
- Tractatus
Forum
Statistiken
- Webseite
Links
FAQ
Impressum

Willkommen 107.22.37.143

Online
Gäste: 9
Mitglieder: 0
Auf dieser Seite: 1
Mitglieder: 3370, neuestes ist wagner

Follow us on Twitter
Follow us on Twitter

scip_Alerter
16.04.1416.04.14F-Secure Security Gateway Admin Console admin Reflected Cross Site Scripting
15.04.1415.04.14SAP SAProuter Password Authentication passwordCheck schwache Authentisierung
15.04.1415.04.14Oracle MySQL Server Options Handler Denial of Service
15.04.1415.04.14Oracle MySQL Server Federated Handler Denial of Service
15.04.1415.04.14Oracle MySQL Server Replication Handler Denial of Service

Zeige aktuelle Schwachstellen

Neueste 5 Downloads
915 Sophos A bis Z der Computersicherheit
Sophos, Allgemein (Dokumente), 20. Jul 08 : 12:10
Dieses Büchlein wird von Sophos zu Werbezwecken verdient. Es stellt in einem ersten Teil die Bedrohungen von A bis Z, wie man sie im Internet antrifft, vor. In gleicherweise werden im zweiten Teil Schutzmassnahmen erwähnt. Kurz und bündig wird so der Leser an die Materie herangeführt. Technische Details und weiterführende Diskussionen fehlen, so dass es wirklich nur als seichte Unterhaltung und Einführung gedacht ist.
914 eBay Hack (S.M.)
S.M. (aka. SevenUp), Social Hacking (Dokumente), 20. Jul 08 : 12:03
Dieses nicht unumstrittene Dokument bespricht Schritt für Schritt, wie ein technisch gestütztes Phishing per HTML-Email und PHP-Skript durchgeführt werden kann, um Login-Informationen für eBay abzufangen. Der Beitrag weist einige technische Fehler auf und ist zu grossen Teilen veraltet. Aus diesem Grund wird ihm primär nur noch historisches Interesse entgegengebracht.
913 Angriff und Verteidigung in Computernetzen
Alexander Koch, Allgemein (Dokumente), 20. Jul 08 : 11:57
Die leider etwas karge Präsentation beleuchtet verschiedene Gesetzesartikel, die auf Computerangriffe und Strike-Back-Verfahren angewendet werden können. Dabei werden sowohl die deutsche als auch die schweizerische Rechtssprechung berücksichtigt. Ein interessanter Beitrag, der die Gefahren von automatisierten Schutzmechanismen auf einer nicht-technischen Ebene zu verdeutlichen in der Lage ist.
912 Cross-Site Scripting (Compass)
Ivan Bütler, Webserver (Dokumente), 20. Jul 08 : 11:49
In diesem einfachen Artikel werden die Grundlagen von Cross Site Scripting-Attacken aufgezeigt. Dabei werden sowohl serverseitige als auch clientseitige Varianten besprochen und zudem darauf hingewiesen, dass sich dies mit jeglicher Art von Scripting (JavaScript, VBscript, etc.) durchsetzen lässt. Die Einfachheit des Papiers macht es vor allem für Einsteiger leicht zu lesen.
911 Internet Networking - Measuring Distance and Bandwidth between Hosts
Werner König, Netzwerke (Dokumente), 01. Apr 08 : 21:43
In dieser Seminararbeit werden diverse Algorithmen zur Berechnung von Bandbreiten bestimmter Verbindungen zwischen Hosts besprochen. Es werden Troughput, Pathchar und vor allem Packet Pair beschrieben sowie ihre Vor- und Nachteile dargestellt. Ein interessantes Gebiet, welches ausserhalb akademischer Bereiche fast keine Beachtung findet.

Zeige alle Downloads (902 Total)

Schon gewusst, dass...
...die erste Version von PKZIP lediglich eine Optimierung des Produkts ARC von SEA darstellte? Unter anderem wurde lediglich die Wortlänge von 12 auf 13 Bytes geändert, wodurch besonders bei binären Dateien eine viel bessere Komprimierung erzielt werden konnte. Aus eben diesem Grund musste Phil Katz nach dem Verlust der Anklage durch SEA die Aufwände von $62,500 zahlen.

Zeige alle Trivias (244 Total)

Zitat des Augenblicks (id 85)
"Der Computer an sich, ist sinnlos. Die Software ist daher die Sinngebung des Sinnlosen." - unbekannte Quelle

Zeige alle Zitate (246 Total)

An diesem Tag...
ID 323 1993: NetBSD 0.8 wird veröffentlich
ID 569 2006: Das bundesweit zweite Urteil gegen einen Finanzagenten bei Phishing wird vorgelegt

Zeige alle Einträge (711 Total)

Google Werbung

 
Security Awareness sei überbewertet (Montag, 6. August 2012 - 08:58:24)
[Marc's Blog] Ich war grad im Urlaub in Kroatien, als ich in meinem RSS-Reader einen Blog Post mit dem Titel Why you shouldn't train employees for security awareness (Kopie) entdeckt habe. Mehr oder weniger skeptisch, aber dennoch interessiert, begann ich den Beitrag zu lesen. In diesem sollte dagegen argumentiert werden, warum Geld in Awareness-Trainings von Mitarbeitern gesteckt werden sollte.

Das Hauptargument der Ausführungen ist, dass erfolgreiche Angriffe - vor allem im Rahmen von Advanced Persistant Threats (APT) - sowieso früher oder später erfolgreich ausfallen würden. Und bekanntgewordene Angriffe auf RSA, Google und eBay würden zudem beweisen, dass dies selbst bei besser ausgebildeten Technologieunternehmen der Fall ist. Ergo: Man könne sich den Aufwand auch gleich sparen und mit entsprechenden Incidents anfangen zu leben. So konnte ich mir es dann nicht verkneifen, auf Twitter eine harsche Kritik zu dieser Konklusion zu veröffentlichen.

Ich habe mir angewöhnt, Beiträge ohne Rücksichtnahme auf Quelle und Autor zu lesen. Mir ist es wichtig, dass ich den Inhalt unvoreingenommen auf mich wirken lassen kann. Erst wenn ich im Verlauf oder nach dem Durchlesen des Artikels die Tendenz meiner Meinung zu festigen beginne, schaue ich nach, aus welcher Quelle der Beitrag stammt und wer ihn verfasst hat. In diesem Fall sollte es Dave Aitel sein - Aufgrund seiner Position als CSO beim renommierten Unternehmen Immunity Inc. eine bekannte Grösse in der Branche. Ich habe schon so manches von ihm gelesen und in den letzten Jahren auch flüchtigen Kontakt mit ihm gehabt. Umso mehr war ich erstaunt, welche Position er da vertreten sollte.

Und tatsächlich tat sich im Internet regen Widerstand gegen seine Aussage auf. Die meistete warteten, so wie ich, mit grossem Unverständnis auf. Man konnte seine Position und seine Absichten schlichtweg nicht nachvollziehen.

Ich kenne seine Position, habe sie schon bei so einigen Kunden gehört. Das letzte Mal bei einer kleinen Schweizer Privatbank, deren Mitarbeiter an der Zahl kaum die 50 überschreitet. Nachdem wir in Kombination von Social Engineering und technischen Angriffen über das Internet erweiterte Zugriffe in sensiblen Bereichen erlangen sollten, ging es an die Abschlussbesprechung. Die Mitglieder der Geschäftsleitung waren gar nicht erfreut ab unseren Resultaten. Das Gespräch sollte sich fortan darauf konzentrieren, ob es denn für solche Attacken überhaupt eine Gegenmassnahme gibt. Schliesslich würde immer irgendeiner der 50 Mitarbeiter einen Fehler machen - Und 1 Fehler sei genug.

Diesen Gedanken kann man weiterspinnen: Sollen Entwickler bezüglich sicherer Programmierung ausgebildet werden? Fehler passieren sowieso. Soll ein Hardening umgesetzt werden? Gewisse Schwachstellen existieren sowieso. Sollen Patches installiert werden? 0-Days existieren sowieso.

Was Dave scheinbar zu missverstehen scheint ist die Tatsache, dass im Rahmen des Risikomanagements die Schwächen reduziert und im besten Fall eliminiert werden sollen. Doch nur weil sich eine Schwachstelle nicht gänzlich eliminieren lässt, muss man nicht gleich auf eine Risikominimierung verzichten. Denn nimmt man es genau, dann ist jede Massnahme schlussendlich nur um die Verringerung von Risiken bemüht. Neue Risiken tun sich ständig auf. Wer das nicht in Kauf nehmen will, der sollte konsequenterweise am besten keinen Computer besitzen (und auch nicht mehr aus dem Haus gehen).

Ich gehe mit Dave einer Meinung, dass die Sicherheit einer Umgebung nicht ausschliesslich auf dem Sicherheitsverständnis der Benutzer beruhen sollte. Selbstverständlich müssen technische Massnahmen etabliert werden, um das gewünschte Mass an Sicherheit durchsetzen zu können. Das Schulen der Mitarbeiter kann jedoch dabei helfen, dass auch die verbleibenden Schwachstellen angegangen und damit eine erhöhte Sicherheit erlangt werden kann. Denn eine sichere Umgebung ist auf das Zutun sämtlicher Akteure angewiesen.

Lese/Schreibe Kommentar: 0 printer friendly


Sie müssen angemeldet sein, um auf dieser Seite Einträge machen zu können. Bitte melden Sie sich an, oder wenn Sie noch nicht registriert sind, klicken Sie hier
1997-2012 © Marc Ruef: Alle Rechte vorbehalten - Kopieren erlaubt!

Render time: 0.0827 second(s).