| Willkommen 38.107.179.228 | |
| Online | Gäste: 13
Mitglieder: 0
Auf dieser Seite: 1
Mitglieder: 3245, neuestes ist Selpho |
| Neueste 5 Downloads |  Sophos A bis Z der Computersicherheit
Sophos, Allgemein (Dokumente), 20. Jul 08 : 12:10
Dieses Büchlein wird von Sophos zu Werbezwecken verdient. Es stellt in einem ersten Teil die Bedrohungen von A bis Z, wie man sie im Internet antrifft, vor. In gleicherweise werden im zweiten Teil Schutzmassnahmen erwähnt. Kurz und bündig wird so der Leser an die Materie herangeführt. Technische Details und weiterführende Diskussionen fehlen, so dass es wirklich nur als seichte Unterhaltung und Einführung gedacht ist.
eBay Hack (S.M.)
S.M. (aka. SevenUp), Social Hacking (Dokumente), 20. Jul 08 : 12:03
Dieses nicht unumstrittene Dokument bespricht Schritt für Schritt, wie ein technisch gestütztes Phishing per HTML-Email und PHP-Skript durchgeführt werden kann, um Login-Informationen für eBay abzufangen. Der Beitrag weist einige technische Fehler auf und ist zu grossen Teilen veraltet. Aus diesem Grund wird ihm primär nur noch historisches Interesse entgegengebracht.
Angriff und Verteidigung in Computernetzen
Alexander Koch, Allgemein (Dokumente), 20. Jul 08 : 11:57
Die leider etwas karge Präsentation beleuchtet verschiedene Gesetzesartikel, die auf Computerangriffe und Strike-Back-Verfahren angewendet werden können. Dabei werden sowohl die deutsche als auch die schweizerische Rechtssprechung berücksichtigt. Ein interessanter Beitrag, der die Gefahren von automatisierten Schutzmechanismen auf einer nicht-technischen Ebene zu verdeutlichen in der Lage ist.
Cross-Site Scripting (Compass)
Ivan Bütler, Webserver (Dokumente), 20. Jul 08 : 11:49
In diesem einfachen Artikel werden die Grundlagen von Cross Site Scripting-Attacken aufgezeigt. Dabei werden sowohl serverseitige als auch clientseitige Varianten besprochen und zudem darauf hingewiesen, dass sich dies mit jeglicher Art von Scripting (JavaScript, VBscript, etc.) durchsetzen lässt. Die Einfachheit des Papiers macht es vor allem für Einsteiger leicht zu lesen.
Internet Networking - Measuring Distance and Bandwidth between Hosts
Werner König, Netzwerke (Dokumente), 01. Apr 08 : 21:43
In dieser Seminararbeit werden diverse Algorithmen zur Berechnung von Bandbreiten bestimmter Verbindungen zwischen Hosts besprochen. Es werden Troughput, Pathchar und vor allem Packet Pair beschrieben sowie ihre Vor- und Nachteile dargestellt. Ein interessantes Gebiet, welches ausserhalb akademischer Bereiche fast keine Beachtung findet.
Zeige alle Downloads (902 Total) |
| Schon gewusst, dass... | ...Niklaus With bei der Entwicklung der Programmiersprache Pascal eine Assertion mit geschweiften Klammern einführte, weil er sich an der Notation des Hoare-Kalkül orientierte?
Zeige alle Trivias (244 Total) |
| Zitat des Augenblicks (id 64) | "Holzhacken ist deshalb so beliebt, weil man bei der Tätigkeit den Erfolg sofort sieht." - Albert Einstein (1879-1955), deutsch-US-amerikanischer Physiker, 1921 Nobelpreis für Physik
Zeige alle Zitate (246 Total) |
| Buchtipp | 
Network Intrusion Detection
von Stephen Northcutt und Judy Novak |
| | Sie sind zur Zeit nicht angemeldet und haben deshalb nur Gast-Privilegien. Einige Funktionen (z.B. Postings, Kommentare, Bewertungen, Statistiken) sind deshalb deaktiviert. Zudem ist für Gäste in einigen Bereichen Werbung geschaltet.
Melden Sie sich an und loggen Sie sich ein, um Zugriff auf sämtliche Bereiche zu erhalten. |
| Die perfekte Leistung - Unmöglich? (Montag, 23. Januar 2012 - 13:12:31) |
 [Marc's Blog] Meine Eltern sind begeisterte Sportler, beides ausgezeichnete Tennisspieler. Nach einer längeren Pause habe ich vor etwa 5 Jahren wieder mit dem Spiel angefangen, stehe seitdem jeweils 4 Mal pro Woche auf dem Platz. Tennis hat mein Leben in vielerlei Hinsicht - auch körperlich, psychisch und taktisch - enorm bereichert. Nur Knie- und Rückenprobleme verhindern, dass ich noch mehr spielen würde.
Meine Mutter hat für die Schweiz mehrfach an der Weltmeisterschaft gespielt und mir also zig Jahrzehnte Spielerfahrung voraus. Als ich wieder seit langem ein Racquet in der Hand hielt, fragte ich sie, ob die Top 10-Spieler einen Match ohne einen eigenen Fehler durchspielen können. Sie verneinte dies, was mich erstaunte. Weder Federer noch Nadal - das damalige Spitzenduo - sollten dazu in der Lage sein? Ich dachte mir, dass ich ja bei der Arbeit den ganzen Tag konzentriert sein müsse. Und da passieren mir auch nur sehr wenige Fehler.
Ich musste einige Tausend Bälle schlagen, bis ich verstand, warum meine Überlegung nicht auf den weissen Sport übertragbar ist. Einerseits sollte es keinen zweimalig identischen Schlag geben. Zu viele Variablen sind involviert: Die eigene Körperhaltung, die Anspassungen der Muskeln, die mentale Verfassung und die eingesetzten Winkel von Fussgelenk bis zur Schulter.
Zwar gibt es auch bei meiner Arbeit viele Eventualitäten und Variablen. Doch ich habe den Vorteil, dass ich meistens nicht sofort eine Handlung vollziehen muss. Meistens kann ich darüber nachdenken, sie ausführen und überprüfen. Dadurch werden Korrekturen möglich, die beim Tennis nach ausgeführtem Schlag schlichtweg nicht mehr nachzuholen sind.
Bei der täglichen Arbeit wird es erforderlich, dass man diese Möglichkeiten des Überdenkens und Ausbesserns zu nutzen weiss. Denn dadurch kann Qualität gewährleistet und die eigenen Fehler kaschiert werden.
Sicherheitsüberprüfungen sind ein Werkzeug, um genau solche Korrekturen bei sicherheitskritischen Systemen angehen zu können. Zeitfenster für erfolgreiche Angriffe, die die eigene Fehlbarkeit vorzuführen in der Lage wären, können so minimiert werden.
Wer sich einer Analyse verweigert, diese behindert oder verfälscht, der beraubt sich der Möglichkeit, eine verbesserte Qualität erlangen zu können. Meines Erachtens ist aber Qualität genau das, was eine Arbeit auszeichnen sollte. Ohne diese wird jedes Schaffen zur willkürlichen und zufälligen Handlung, die dem Glück unterworfen ist. In Krisensituationen sollte man sich aber nicht auf Glück verlassen müssen.
|
| Hacktivismus nicht zu Ende denken (Montag, 9. Januar 2012 - 07:47:08) |
[Marc's Blog] Dezember 2011 wurde mitunter vom sogenannten Stratfor Hack beherrscht. Dabei wurde das US-amerikanische Unternehmen Stratfor Opfer eines Einbruchs, bei dem Kreditkarteninformationen, Passwörter, Telefonnummern und Mailadressen ihrer Kunden entwendet wurden. Einige dieser Daten wurden vermeintlich durch Anonymous bereitgestellt, wodurch sich für eine breite Mehrheit die Möglichkeit klassischen Kreditkartenmissbrauchs erschloss.
Einige vermeintliche Mitglieder von Anonymous haben Screenshots publiziert, in denen sie Spenden an Hilfswerke mittels der gestohlenen Kreditkarteninformationen initiierten. Dazu gehörten bekannte Hilfswerke wie Rotes Kreuz, CARE, Save The Children und die African Child Foundation. Auf den ersten Blick eine Aktion, die aufgrund der fehlenden Eigennützigkeit als nobel tituliert werden könnte.
Doch so einfach ist das alles nicht. Viele der geschädigten Personen werden um eine Rückzahlung bemüht sein. Für die Empfänger, Kreditkartenfirmen, Finanzinstitute und Kunden wird ein Mehr an Aufwand entstehen. Vor allem die Hilfswerke werden keinen Vorteil aus dieser Aktion gewinnen, da sie sich mit den Rückzahlungen herumschlagen müssen, anstelle von den vermeintlichen Spenden profitieren zu können.
Diese ganze Aktion zeigt einmal mehr, dass wenn Hacktivismus nicht zu Ende gedacht wird, ungewollter Schaden angerichtet werden kann. Vor allem wenn persönliche Daten missbraucht und digitale Güter gekauft werden, sind Interventionen und zusätzliche Kosten vorprogrammiert. Das Prinzip, das wir von Robin Hood her kennen, ist in einer digitalen Welt an zusätzliche Gesetze gebunden. Denn rechtmässige Besitzer eines Goldstücks lassen sich nur schwierig ermitteln - Der rechtmässige Besitzer einer digitalen Zahlung lässt sich hingegen zweifelsfrei ausmachen.
Hacktivismus mag gut und Recht sein, wobei aber auch hier der Zweck niemals die Mittel heiligen darf. So ist es nach wie vor fragwürdig, ob und inwiefern die Stratfor-Kunden mit ihren Kreditkarteninformationen - auch mit zusätzlichen persönlichen Daten (z.B. Anschrift, Mailadresse) exponiert sein sollen. Eine Scheibe einzuschlagen, um zu beweisen, dass man sie kaputtmachen kann, das erscheint mir nach wie vor zu einfach.
|
| 2011: Was war? 2012: Was wird? (Montag, 19. Dezember 2011 - 09:10:56) |
[Marc's Blog] Wie jedes Jahr möchte ich eben dieses mit einem reflektierenden Blog-Eintrag abschliessen - Über Vergangenes sinnieren und zu Zukünftigem träumen. Einen rein technischen Ausblick auf das Jahr 2012 werde ich diese Tage im scip Labs Blog veröffentlichen.
Vorträge
Wie auch schon das Jahr zuvor, sollte 2011 für mich ein Jahr der Konferenzen und Vorträge sein. Neben prestigeträchtigen Events (Hashdays in Luzern und Symposium von BKA/LKA/Fedpol in Wiesbaden) war ich ebenfalls an kleineren und geschlossenen Veranstaltungen anzutreffen. Es macht mir natürlich immer Spass, neue und interessante Leute kennenzulernen. Dennoch ist es im gut gebuchten Arbeitsalltag nicht immer einfach, sich genügend Raum für die erforderlichen Vorbereitungen schaffen zu können. Ich nehme an, dass ich im kommenden Jahr nicht mehr so viele Auftritte auf mich nehmen können werde. Obschon ich selbst schon jetzt einige Zusagen getroffen habe ...
Fachbeiträge
Besonders viel Spass hat mir das Publizieren von Fachbeiträgen im firmeninternen Blog bereitet. Beispielsweise die beiden Artikel zur systematischen Umsetzung von Firewall Rule Reviews und Config Reviews. Nebenher habe ich auch einige grössere Artikel, wie zum Beispiel zum Thema Cloud Computing, in entsprechenden Fachzeitschriften publiziert. Diese Rhythmik versuche ich auch ins kommende Jahr zu tragen. Es liegen einige Entwürfe vor, die für den einen oder anderen Leser durchaus von Interesse sein könnten.
Medienauftritte
Neben Vorträgen und Fachpublikationen war ich dieses Jahr auch sehr stark in den Medien vertreten. Dazu gehören Expertenkommentare und Interviews in Zeitungen, Radio und Fernsehen. Das Jahr hatte fulminant angefangen, als wir im Januar bekannt geben konnten, dass wir das deutsche Kryptosystem X-pire! erfolgreich angreifen konnten. Der mediale Höhepunkt war aber sicher der Beitrag von Welt der Wunder, der unseren Arbeitsalltag portraitiert hat. Rund 1 Million Zuschauer haben die Sendung auf RTL2 gesehen und die Resonanz fiel sehr positiv aus. Informationssicherheit ist zweifelsfrei bei der breiten Öffentlichkeit angekommen.
Entwicklung
Entwicklungstechnisch habe ich meine Zeit in erster Linie in ein bis dato noch nicht bekannt gemachtes Projekt investiert. Es handelt sich um eine wirklich interessante Sache, die ich gerne veröffentlichen würde. Leider bin ich dabei von den Daten einer Organisation abhängig, die mir keine Lizenzierung erteilen möchte. Sinngemäss widergegeben, fürchte man sich vor der Durchschlagskraft meines Projekts, die sich indirekt negativ für ihre Arbeit auswirken könne. Ich bedauere diese Einschränkung sehr und suche fieberhaft nach einer alternativen Lösung. Vielleicht wird mich 2012 in dieser Hinsicht mit mehr Glück segnen.
Privates
Ansonsten habe ich sehr viel Tennis gespielt. Eine kleine Statistik zu meinem Tennisjahr habe ich auf Twitter - mittlerweile habe ich die Marke von 1'000 Follower geknackt - gepostet. Und dank Spotify habe ich eine Vielzahl neuer Interpreten, Alben und Songs gefunden. In meinem Privatleben hat sich auch viel Positives getan ... Ich kann mich deshalb so gar nicht beklagen. In diesem Sinne bedanke ich mich bei all meinen Weggefährten für die schöne Zeit und hoffe, dass uns die Zukunft weiterhin viel Positives bringen wird - Denn auch im nächsten Jahr wird mein Motto lauten: "Erarbeite Dir Möglichkeiten und nutze sie!"
|
|
