| Online | Gäste: 23
Mitglieder: 0
Auf dieser Seite: 2
Mitglieder: 2983, neuestes ist Ytreza |
| Neueste 5 Downloads |  Sophos A bis Z der Computersicherheit
Sophos, Allgemein (Dokumente), 20. Jul 08 : 12:10
Dieses Büchlein wird von Sophos zu Werbezwecken verdient. Es stellt in einem ersten Teil die Bedrohungen von A bis Z, wie man sie im Internet antrifft, vor. In gleicherweise werden im zweiten Teil Schutzmassnahmen erwähnt. Kurz und bündig wird so der Leser an die Materie herangeführt. Technische Details und weiterführende Diskussionen fehlen, so dass es wirklich nur als seichte Unterhaltung und Einführung gedacht ist.
eBay Hack (S.M.)
S.M. (aka. SevenUp), Social Hacking (Dokumente), 20. Jul 08 : 12:03
Dieses nicht unumstrittene Dokument bespricht Schritt für Schritt, wie ein technisch gestütztes Phishing per HTML-Email und PHP-Skript durchgeführt werden kann, um Login-Informationen für eBay abzufangen. Der Beitrag weist einige technische Fehler auf und ist zu grossen Teilen veraltet. Aus diesem Grund wird ihm primär nur noch historisches Interesse entgegengebracht.
Angriff und Verteidigung in Computernetzen
Alexander Koch, Allgemein (Dokumente), 20. Jul 08 : 11:57
Die leider etwas karge Präsentation beleuchtet verschiedene Gesetzesartikel, die auf Computerangriffe und Strike-Back-Verfahren angewendet werden können. Dabei werden sowohl die deutsche als auch die schweizerische Rechtssprechung berücksichtigt. Ein interessanter Beitrag, der die Gefahren von automatisierten Schutzmechanismen auf einer nicht-technischen Ebene zu verdeutlichen in der Lage ist.
Cross-Site Scripting (Compass)
Ivan Bütler, Webserver (Dokumente), 20. Jul 08 : 11:49
In diesem einfachen Artikel werden die Grundlagen von Cross Site Scripting-Attacken aufgezeigt. Dabei werden sowohl serverseitige als auch clientseitige Varianten besprochen und zudem darauf hingewiesen, dass sich dies mit jeglicher Art von Scripting (JavaScript, VBscript, etc.) durchsetzen lässt. Die Einfachheit des Papiers macht es vor allem für Einsteiger leicht zu lesen.
Internet Networking - Measuring Distance and Bandwidth between Hosts
Werner König, Netzwerke (Dokumente), 01. Apr 08 : 21:43
In dieser Seminararbeit werden diverse Algorithmen zur Berechnung von Bandbreiten bestimmter Verbindungen zwischen Hosts besprochen. Es werden Troughput, Pathchar und vor allem Packet Pair beschrieben sowie ihre Vor- und Nachteile dargestellt. Ein interessantes Gebiet, welches ausserhalb akademischer Bereiche fast keine Beachtung findet.
Zeige alle Downloads (902 Total) |
| Zitat des Augenblicks (id 171) | "Hier sollen gefälligst nicht irgendwelche wilden Variablen durch die Gegend wandeln und Steine schmeissen." - Wau Holland (1951-2001), Mitbegründer des Chaos Computer Club
Zeige alle Zitate (246 Total) |
| Buchtipp | 
Computer Networks
von Andrew S. Tanenbaum |
| | Sie sind zur Zeit nicht angemeldet und haben deshalb nur Gast-Privilegien. Einige Funktionen (z.B. Postings, Kommentare, Bewertungen, Statistiken) sind deshalb deaktiviert. Zudem ist für Gäste in einigen Bereichen Werbung geschaltet.
Melden Sie sich an und loggen Sie sich ein, um Zugriff auf sämtliche Bereiche zu erhalten. |
| Who the F**k is VRML? (Montag, 8. März 2010 - 09:12:05) |
 [Marc's Blog] Jeden Morgen fahre ich mit der Bahn zur Arbeit. Und wenn es der Zufall will, dann treffe ich alte Bekannte, Freunde oder gar Familie. Eines Morgens traf ich einen Bekannten, der Kunst studiert hat. In seiner Ausbildung und seiner gegenwärtigen Tätigkeit spielen elektronische Medien - allen voran der Computer und das Internet - eine erstaunlich wichtige Rolle. So passiert es dann nicht selten, dass wir über das eine oder andere Thema diskutieren.
Nachdem er sich erneut darüber geärgert hat, dass sein WordPress-Blog eine Vielzahl an Patches erfordert, hat er das Thema VRML angeschnitten. Die Virtual Reality Modeling Language ist eine Beschreibungssprache für 3D-Szenen, die 1995 als Erweiterung für das World Wide Web entwickelt wurde.
Ich sagte, dass ich die Sprache seit dem Ende der 90er Jahre nicht mehr gesehen hätte. Zeitgleich fragte ich nach, ob es denn mittlerweile anständige Editoren und Clients für VRML gibt. Er war sich auch nicht ganz sicher. Neben mir sass eine junge Dame, vielleicht Anfang oder Mitte Zwanzig. Sofort führt sie an, dass es mittlerweile durchaus anständige Clients gäbe. Ich und mein Freund waren verdutzt.
Die Kombination aus hübscher, junger Dame, die Ahnung von VRML hat, war erfahrungsgemäss nicht zu erwarten. Ich wusste dann auch nicht gleich, was ich daraufhin antworten sollte. Eigentlich hätte es mich interessiert, ob und inwiefern die gegenwärtigen Browser damit umgehen können, ob man Plugins braucht oder ob ein Grossteil mit Standalone-Applikationen realisiert wird. Doch eigentlich studierte ich stattdessen den wahrscheinlichkeitstheoretischen Zufall, der zu der gegebenen Situation geführt hat. Er war klein, verdammt klein.
Sie erwähnte noch, dass sie an der ETH Zürich arbeiten würde und schon mussten wir aussteigen. Die Situation amüsiert mich noch heute, wenn ich daran denke. Sie hätte aus einer Sitcom - beispielsweise The Big Bang Theory - stammen können. Meinen Morgen hat es jedenfalls sehr bereichert.
Mit Javascript/DHTML lassen sich mittlerweile sehr effiziente 3D-Modelle in echtzeit rendern. Dennoch ist eine dreidimensionale Darstellung nicht für jede Situation wünschenswert. Genauso wie es Momentan gibt, in denen eine Tabelle vorteilhafter gegenüber einer Liste ist, gibt es Situationen, in denen eine 2D-Darstellung übersichtlicher als die 3D-Variante wirkt.
Wie bei jeder Technologie ist es für das Durchsetzen dieser massgeblich, dass sie richtig eingesetzt wird. Den Nutzen von Diensten wie Twitter und Facebook erschliesst sich auch erst, wenn man sie richtig einsetzt. Das eine ist kein Ersatz für das andere. Genauso wie Twitter per se kein Ersatz für moderierte Tagesmedien (Zeitungen und Nachrichtensendungen) sein kann. (Mein Twitter-Account lautet übrigens @mruef.)
3D-Applikationen werden im Rahmen der Augmented Reality innerhalb der iPhone-Szene immer mehr an Wichtigkeit gewinnen. Applikationen wie Layar, Heads Up Navigator oder Peak.ar sind jedenfalls sehr spannend und haben mir schon oft geholfen. Ich bin sehr gespannt, was die Zukunft da noch bringen wird.
|
| Elektronische Einbruchserkennung - Ein missverstandenes Werkzeug (Montag, 22. Februar 2010 - 09:18:51) |
[Marc's Blog] Der erste in erster Linie kommerziell ausgeschlachtete Trend der noch jungen IT Security Branche war das Firewalling. Im Corporate-Bereich wurden Firewall-Systeme gekauft und installiert, wie wenn es kein Morgen gäbe. Jede Firma, die etwas auf sich hielt, musste seinen Internet-Zugang mit einem Paketfilter schützen.
Die Industrie hatte Blut geleckt und versuchte unmittelbar nach dem Erreichen des umsatzstarken Zenits einen neuen Trend zu etablieren. Einen Schritt weiter als die damals als passiv verstandenen Firewalls sollten die Intrusion Detection-Systeme (IDS) gehen. Neben Antivirus und Kryptografie hat sich damit ein weiteres Missverständnis im Bereich der "alltäglichen" Computersicherheit etabliert.
Dies beginnt damit, was ein IDS überhaupt macht. Grundsätzlich kann zwischen Angriffserkennung und Einbruchserkennung unterschieden werden. Zwei strategisch gänzlich unterschiedliche Prozesse, die ebenso unterschiedlich konzeptioniert werden müssen. Je nachdem wird ein IDS nämlich an exponierter Stelle positioniert, eventuell gar als Teil eines Honeypots/Honeynets betrieben. Oder es wird an zentrale und umfassend geschützte Objekte, wie zum Beispiel eine interne Kundendatenbank, gebunden. Neben der netzwerktechnischen Positionierung sind ebenfalls die Konfiguration und der Betrieb von diesen Überlegungen abhängig.
Doch was den Untergang der IDS-Lösungen herbeigeführt hat, bevor diese überhaupt das Erbe der Firewall-Kultur antreten konnten, waren die weiterführenden Überlegungen abseits des Produkts ansich. In fast keinem Bereich sollte der Ausspruch "Sicherheit ist kein Produkt, sondern eine Lösung" seine volle Tragweite entfalten. Zur Evaluation, dem Kauf, der Konzeption, Installation und Konfiguration kommen weitere Aspekte, die ein IDS überhaupt nützlich werden lassen.
Intrusion Detection-Systeme sind schlussendlich Software-Lösungen, die durch mehr oder weniger komplexe Verfahren verdächtige/unerwünschte Aktivitäten erkennen und melden sollen. Doch wo werden diese Alerts gemeldet und wer nimmt sich diesen an? Wie im Bereich des Vulnerability Scannings trumpfen die jeweiligen Lösungen nicht gerade mit einer perfekten Zuverlässigkeit auf. False-Positives und False-Negatives sind an der Tagesordnung und so muss ein Spezialist die jeweiligen Resultate analysieren, prüfen und gegebenenfalls erweitern.
In Bezug auf eine IDS-Lösung bedeutet dies, dass mindestens ein Spezialist als Teil des Monitoring-Teams die jeweiligen Alerts sichten muss. Doch damit nicht genug. Denn was passiert, wenn ein effektiver Alert ausgelöst wurde? Zum Beispiel ein erfolgreicher Einbruch auf einem betriebskritischen Server? Die Incident Response (IR) regelt als Prozess, wie in einem solchen Fall verfahren werden soll. Die Definition dieser Abläufe ist nicht einfach, sollen sie denn nicht willkürlich oder fahrlässig die Produktivität eines Unternehmens untergraben. Massnahmen müssen klug gewählt und noch kluger angewendet werden.
Da viele Kunden das grundlegende Prinzip von Produkten wie Intrusion Detection-Systemen nicht verstanden haben oder die damit eingeführten Mechanismen mittragen wollten, war das Konzept in einem breitflächig kommerziellen Sinn zum Scheitern verurteilt. Die meisten Käufer haben ihre teuren Installationen nach nur wenigen Monaten wieder abgebaut. Und auch heute noch finden sich in den wenigsten Unternehmen IDS-Lösungen, die umfassend und flächendeckend eingesetzt und betrieben werden. Der Aufwand und die Kosten sind einfach zu hoch, wodurch das Risiko eines Blindflugs bei einem drohenden Incident wohl oder übel in Kauf genommen wird.
|
| Entwickler: Dein Freund und Helfer (Montag, 15. Februar 2010 - 09:30:33) |
[Marc's Blog] Hier beginnt sie, meine kleine Geschichte. Ich fahre mit dem Zug in unsere Bundeshauptstadt. Muss dort bei einem Kunden einen Partner treffen, der sich für die Entwicklung einer internen Webapplikation verantwortlich zeichnet. Ich bin sehr müde. Da ich momentan sehr viel zu tun habe, bin ich eigentlich auch ein bisschen gereizt - vor allem wenn man mich warten lässt. Ich lass mir jedoch nichts anmerken, melde mich höflich beim Empfang an und werde flott ins Konferenzzimmer geführt.
Dort wartet er schon. Der Entwickler der externen Firma. Man lässt uns alleine, denn schliesslich geht es hier um einen Code-Walkthrough: Der gute Mann soll mir innerhalb von etwa 30 Minuten die Architektur der Applikation näherbringen, so dass ich mich in dieser sofort zurechtfinden und mit der eigentlichen Source Code Analyse beginnen kann.
Schon als Wochen vorher der Termin vereinbart wurde, verspürte ich am Telefon eine latente Abneigung gegen meine Person oder meine Tätigkeit (ich weiss es nicht). Diese sollte sich an der besagten Sitzung fortsetzen. Als er mir die Anwendung erklärte, fragte er immerwieder nach, ob ich mich mit dieser und jener Technologie oder mit diesem und jenem Produkt auskennen würde. Ich war wirklich müde und hatte keine Lust darauf hier Hundetricks vorzuführen. Also schüttelte ich lediglich den Kopf und bat darum, mit der Erklärung fortzufahren.
Vielleicht habe ich einmal zu oft den Kopf geschüttelt, denn der Entwickler behandelte mich zunehmends wie einen Idioten. Anfangs als er entnervt insistierte, dass ich mich gefälligst mit Struts auszukennen hätte, um eine fachgerechte Analyse des Quelltexts vorzunehmen. Später dann, als er mir bei der Erklärung der Netzwerkarchitektur erklärte: "Da steht ein Element, das nennt sich Reverse-Proxy, wissen sie..." Ich sass schon so manchem arroganten und selbstgefälligen Gesprächspartner gegenüber, so dass mich das nur wenig aus der Ruhe brachte. Viel eher gab ich mir nun nur noch weniger Mühe, meine Langeweile zu verbergen.
Wenn ich denn mal eine Frage stellte, war er sofort darum bemüht diese zu korrigieren: So sei .htaccess auf einem IIS nicht möglich, Oracle lässt keine Zugriffseinschränkungen für Tabellen zu und SSL in einem internen Netzwerk sei idiotisch. "Na ja", hab ich gesagt. Mehr nicht. Ich war müde und es war mir echt zu dumm, abgesehen von der totlangweiligen Mini-Applikation auch noch über anderen Unsinn zu sprechen.
Zum Schluss der Sitzung wurde mir der Source Code der Applikation auf meinen USB-Stick kopiert. "Der ist ja gar nicht verschlüsselt", schnellte mein neuer Freund hervor. Während ich den Stick und meinen Laptop in meine Mappe legte, fragte ich: "Wieso meinen Sie?" Ganz entrüstet warf er mir dann an den Kopf, dass er von einer vermeintlichen Sicherheitsfirma schon ein Mindestmass an Security erwarten würde. Ich sagte "Ja, ist gut", schüttelte ihm die Hand und verabschiedete mich.
Einmal wäre ich tatsächlich fast auf eine Diskussion eingegangen. Und zwar dann, als er mit einem hämischen Grinsen behauptet hat, dass er extra einen Fehler in der Applikation eingebaut hätte um zu schauen, ob wir den finden würden. Im ZIP-File sind die Zeitstempel der letzten Änderungen der Originaldateien enthalten. Nur wenige Dateien wurden einen Tag vor dem Treffen geändert. Jetzt darf man drei mal raten, wie schwierig es war herauszufinden, welche absichtlichen Fehler das waren...
|
|
1996: Microsoft übernimmt Colusa Software
