_
Hauptmenu
News
Verwundbarkeitsdatenbank
Downloads
- Dokumente
- Software
- Filme
- Guides
Projekte
- Attack Tool Kit
- codEX
- ComInt
- Compupedia
- Computec Online Adventure
- eLearn
- Entropia
- httprecon
- Tractatus
Forum
Statistiken
- Webseite
Links
FAQ
Impressum

Willkommen 54.91.255.151

Online
Gäste: 8
Mitglieder: 0
Auf dieser Seite: 1
Mitglieder: 3377, neuestes ist sausi

Follow us on Twitter
Follow us on Twitter

scip_Alerter
30.07.1430.07.14Tor Cell Protocol Handler relay_early Information Disclosure
25.07.1425.07.14Cisco WebEx Meetings Server Stack Trace Handler Information Disclosure
25.07.1425.07.14Cisco WebEx Meetings Server checkJS.jsp Cross Site Request Forgery
25.07.1425.07.14Cisco WebEx Meetings Server Information Disclosure
25.07.1425.07.14Cisco WebEx Meetings Server user.php Information Disclosure

Zeige aktuelle Schwachstellen

Schon gewusst, dass...
...der Kommunikationsschlüssel für Direct Calls im schweizer POLYCOM-Netz nie ablaufen? Geknackte Kommunikationen können also immerwährend mitgehört werden.

Zeige alle Trivias (244 Total)

Zitat des Augenblicks (id 16)
"Die Tastatur finden Sie, indem Sie das Kabel verfolgen, das mit einem 5-poligen DIN-Stecker an der Rückseite Ihres Rechners angebracht ist." - aus der CrossPoint Hilfe

Zeige alle Zitate (246 Total)

An diesem Tag...
ID 82 1922: Todestag von Alexander Graham Bell
ID 290 1994: Der VAX-Port von NetBSD wird veröffentlicht

Zeige alle Einträge (711 Total)

Google Werbung

 
Sie sind zur Zeit nicht angemeldet und haben deshalb nur Gast-Privilegien. Einige Funktionen (z.B. Postings, Kommentare, Bewertungen, Statistiken) sind deshalb deaktiviert. Zudem ist für Gäste in einigen Bereichen Werbung geschaltet.

Melden Sie sich an und loggen Sie sich ein, um Zugriff auf sämtliche Bereiche zu erhalten.

Out of Scope als latente Gefahr (Montag, 30. Juni 2014 - 08:27:37)
[Marc's Blog] Bei einer Sicherheitsüberprüfung wird ein Objekt analysiert. Was alles zu diesem "Objekt" gehört, wird im Scope festgelegt. Ein typisches Scoping lautet zum Beispiel "alle vom Internet erreichbaren Systeme" oder "System X als authentisierter Benutzer". Diese Definition ist also massgeblich mitentscheidend, was und wie etwas betrachtet werden wird.

Ein Scope ist immer auch eine implizite Abgrenzung. Wenn System X angeschaut werden soll, dann hat man gefälligst System Y nicht anzuschauen. Diese Abgrenzung kann aber auch explizit geschehen, indem die Sachen, die nicht untersucht werden sollen, als "out of scope" deklariert werden. Zum Beispiel kann System X in scope sein, aber Service A ist explizit out of scope.

Es gibt verschiedene Gründe, warum etwas out of scope sein kann:

* Es wird/wurde im Rahmen einer anderen Prüfung untersucht
* Es ist besonders heikel und muss gesondert untersucht werden
* Es ist noch nicht produktiv und einsatzbereit
* Es wird "bald" abgelöst
* Es wird keine Wichtigkeit (Kritikalität/Exponiertheit) beigemessen
* Es ist nicht im Hoheitsgebiet des Kunden
* Man will es einfach nicht angeschaut haben

Nicht alle der genannten Gründe lassen mich in einem Gefühl des Wohlbehagens zurück. Es ist nämlich nicht selten, dass Dinge als out of scope geführt werden, nur weil sie unbequem sind. Man drückt sich quasi vor der Verantwortung, sich den Herausforderungen dafür zu stellen.

Das Exkludieren von Prüfungen aus dem genannten Grund ist stets fahrlässiger oder gar böswilliger Natur. Früher oder später wird genau diese Komponente in einem Zwischenfall involviert sein und dann wird es schwierig sich zu rechtfertigen, warum man da nicht schon viel früher reagiert hat. Ein gutes Scoping muss ehrlich sein. Langfristig profitieren alle davon.

Lese/Schreibe Kommentar: 0 printer friendly

Trolling als konstruktives Hobby (Dienstag, 10. Juni 2014 - 08:14:43)
[Marc's Blog] Ich bewege mich nun seit bald 20 Jahren tagtäglich im Internet und habe schon so manche lustige, kuriose und absurde Geschichte gelesen oder war gar Teil davon. Die Summe der Ereignisse dieser Färbung und die mit ihr einhergehende gefühlte Zunahme hat mich dazu bewogen, viele Sachen nicht mehr oder nur noch beschränkt ernst zu nehmen.

Die grundsätzlich damit mitschwingende Resignation hat bei mir den zusätzlichen Effekt ausgelöst, Dinge mit einem gewissen Mass an Ironie zu betrachten. Die nach Aussen gekehrte Folge davon war, dass ich angefangen habe in gewissen Situationen als Troll aufzutreten. Ganz offensichtlich, ganz ehrlich.

Für dieses Tätigkeitsfeld bieten sich natürlich naive, dumme, provokante oder polemische Aussagen von Politikern besonders an. Sehe ich solche auf Twitter oder anderweitig im Netz, erlaube ich mir entsprechend zu reagieren. Wie zum Beispiel im Rahmen der Masseneinwanderunsinitiative, als ich mich bei Christoph Mörgeli (SVP) über die lange Schlange am Dönerstand beklagt habe. Oder als ich mich im Rahmen einer Aussage zur Stipendieninitiative bei Aline Trede (Grüne) gemeldet hatte. Oder als ich ein Kampfflugzeug auf dem Foto von Lukas Reimann (SVP) mit einem BMW verwechselt habe. Oder als ich das ausbleibende Aufgreifen des Abschmetterns der Vorratsdatenspeicherung in der EU durch die Piratenpartei Schweiz kritisiert habe.

Wen ich gerade trolle, spielt für mich eigentlich keine Rolle. Von Links bis Rechts findet sich immer jemand, der sich ungeschützt exponiert, um sich dann einer nicht ganz ernst gemeinten und doch eigentlich ernst gemeinten Aussage von mir ausgesetzt zu sehen. Dabei möchte ich beim Gegenüber und bei Mitlesern zum Denken anregen. Jemanden zu verletzen liegt mir fern.

Und es kommt doch zwischendurch vor, dass jemand mein Spiel durchschaut und mit einem sehr cleveren Konter auftrumpft. Aline Trede hat bei mir zum Beispiel viele Pluspunkte gesammelt. Und auch die Antwort der Piraten war nicht schlecht, auch wenn sie den Kontext des Problems einmal mehr komplett ausblendet. Bezeichnen wir dies also fairenhalber als Gleichstand. In diesem Kontext drängte sich mir aber viel mehr die Frage auf: Sind Studenten so früh an einem Samstag überhaupt schon wach?

Wenn sich dann doch mal jemand düpiert sieht, dann amüsiert mich das. Denn dann scheine ich einen wunden Punkt getroffen zu haben. Durch das Auslösen von Emotionen wird zwangsweise der Denkprozess in Bewegung gesetzt. Das ist ja meistens schon mal ein Anfang. In diesem Sinne wünsche ich mir noch viele Stunden des fröhlichen Trollings.

Lese/Schreibe Kommentar: 2 printer friendly

Im Blindflug (Montag, 26. Mai 2014 - 11:25:56)
[Marc's Blog] Das Kernelement von Informationssicherheit ist Transparenz. Nur dann, wenn diese gewährleistet werden kann, können Risiken erkannt, bewertet und adressiert werden. Ohne Transparenz ist es unmöglich, ein sicheres System zu betreiben und um die Sicherheit dessen zu wissen.

Transparenz bedeutet unter anderem auch, dass man sich den einzelnen Aspekten seines Systems bewusst ist. Bei einer Software bedeutet dies, dass man Einsicht in den Code erhalten und diesen Prüfen kann. Sämtliche Ein- und Ausgaben sowie die Datenverarbeitung können nachvollzogen werden.

Zoomt man unter diesem Blickwinkel zurück, ist es für ein Unternehmen wichtig zu verstehen, welche Produkte sie überhaupt im Einsatz hat. In einem Inventar werden Plattformen, Betriebssysteme, Software, Addons und Patches festgehalten.

Dass ein solches Software-Inventar von emminenter Wichtigkeit ist, war mir von Beginn weg klar. Doch schnell musste ich realisieren, dass nur die wenigsten Unternehmen den Aufwand auf sich nehmen, eine solche Liste zu führen und aktuell zu halten. Damals dachte ich noch, dass dies halt der aktuelle Stand einer evolutionären Entwicklung ist und sich das irgendwann schon etablieren wird. Doch selbst jetzt - 15 Jahre später - vermisse ich noch immer bei den meisten Firmen ein Software-Inventar.

Für mich als Auditor ist ein solches Inventar von grossem Nutzen, da damit von vornherein die Landschaft verstanden und sich darauf eingestellt werden kann. Benutzt ein Unternehmen nur Windows 8, das momentan Windows 7 ablöst, hilft mir das sehr, die aktuellen Risiken verstehen zu können. Oder ob nun Microsoft Office oder OpenOffice bevorzugt wird, kann im Rahmen eines Social Engineering-Zugriffs entscheidend sein.

Doch auch für die Unternehmen selbst täten sich eine Vielzahl an latenten Vorteilen auf. Zum einen könnte man strategische Entscheidungen viel besser untermauern. Will man wirklich weg von Windows XP, oder setzen alte CNC-Maschinen halt einfach unweigerlich darauf auf?

Doch es ist wie vielerorts: Die Menschen scheuen grosse und immerwährende Aufwände, die keinen unmittelbaren Gewinn versprechen. Ich frage mich nur: Wie kann ich meinen Kunden verständlich machen, dass ein Software-Inventar enorme Vorteile mitbringen wird? Ich hoffe, dass ich nicht nocheinmal 15 Jahre verstreichen lassen muss, um bezüglich dieser Frage zu einer befriedigenden Antwort zu kommen.

Lese/Schreibe Kommentar: 0 printer friendly

Archiv
*Psychologische Manipulation im Hypothekarzinsumfeld07. Apr 14 : 10:39Marc's Blog
*Manuelle Firewall Rule Reviews - Bitte nicht!17. Mär 14 : 14:12Marc's Blog
*Kritik an Proxies als Massnahme03. Mär 14 : 12:41Marc's Blog
*Problem von OS Fingerprinting Kaskadierung17. Feb 14 : 09:56Marc's Blog
*Grundlegende RFID-Sicherheit28. Jan 14 : 10:08Marc's Blog
*Chancen verpassen13. Jan 14 : 12:22Marc's Blog
*Widerstand ist zwecklos17. Dez 13 : 09:33Marc's Blog

Wechsle zur Seite [1] 2 3 ... 40 41 42


News Categories

1997-2012 © Marc Ruef: Alle Rechte vorbehalten - Kopieren erlaubt!

Render time: 0.1916 second(s).