| Willkommen 38.107.179.227 | |
| Online | Gäste: 8
Mitglieder: 0
Auf dieser Seite: 1
Mitglieder: 3285, neuestes ist maskcarder |
| Neueste 5 Downloads |  Sophos A bis Z der Computersicherheit
Sophos, Allgemein (Dokumente), 20. Jul 08 : 12:10
Dieses Büchlein wird von Sophos zu Werbezwecken verdient. Es stellt in einem ersten Teil die Bedrohungen von A bis Z, wie man sie im Internet antrifft, vor. In gleicherweise werden im zweiten Teil Schutzmassnahmen erwähnt. Kurz und bündig wird so der Leser an die Materie herangeführt. Technische Details und weiterführende Diskussionen fehlen, so dass es wirklich nur als seichte Unterhaltung und Einführung gedacht ist.
eBay Hack (S.M.)
S.M. (aka. SevenUp), Social Hacking (Dokumente), 20. Jul 08 : 12:03
Dieses nicht unumstrittene Dokument bespricht Schritt für Schritt, wie ein technisch gestütztes Phishing per HTML-Email und PHP-Skript durchgeführt werden kann, um Login-Informationen für eBay abzufangen. Der Beitrag weist einige technische Fehler auf und ist zu grossen Teilen veraltet. Aus diesem Grund wird ihm primär nur noch historisches Interesse entgegengebracht.
Angriff und Verteidigung in Computernetzen
Alexander Koch, Allgemein (Dokumente), 20. Jul 08 : 11:57
Die leider etwas karge Präsentation beleuchtet verschiedene Gesetzesartikel, die auf Computerangriffe und Strike-Back-Verfahren angewendet werden können. Dabei werden sowohl die deutsche als auch die schweizerische Rechtssprechung berücksichtigt. Ein interessanter Beitrag, der die Gefahren von automatisierten Schutzmechanismen auf einer nicht-technischen Ebene zu verdeutlichen in der Lage ist.
Cross-Site Scripting (Compass)
Ivan Bütler, Webserver (Dokumente), 20. Jul 08 : 11:49
In diesem einfachen Artikel werden die Grundlagen von Cross Site Scripting-Attacken aufgezeigt. Dabei werden sowohl serverseitige als auch clientseitige Varianten besprochen und zudem darauf hingewiesen, dass sich dies mit jeglicher Art von Scripting (JavaScript, VBscript, etc.) durchsetzen lässt. Die Einfachheit des Papiers macht es vor allem für Einsteiger leicht zu lesen.
Internet Networking - Measuring Distance and Bandwidth between Hosts
Werner König, Netzwerke (Dokumente), 01. Apr 08 : 21:43
In dieser Seminararbeit werden diverse Algorithmen zur Berechnung von Bandbreiten bestimmter Verbindungen zwischen Hosts besprochen. Es werden Troughput, Pathchar und vor allem Packet Pair beschrieben sowie ihre Vor- und Nachteile dargestellt. Ein interessantes Gebiet, welches ausserhalb akademischer Bereiche fast keine Beachtung findet.
Zeige alle Downloads (902 Total) |
| Schon gewusst, dass... | ...im Film "Matrix Reloaded" (2003) eine abgespeckte Version von nmap durch Trinity benutzt wird, um einen offenen Port in einem anzugreifenden System zu finden? Der nmap-Entwickler hat damals voller Freude die Fotos eines DivX-Rips des Films auf der Projekt-Seite publiziert.
Zeige alle Trivias (244 Total) |
| Zitat des Augenblicks (id 117) | "Fehler machen ist menschlich, aber für ein richtiges Desaster brauchst du einen Computer." - unbekannte Quelle
Zeige alle Zitate (246 Total) |
| Buchtipp | 
Computer Networks
von Andrew S. Tanenbaum |
| | Sie sind zur Zeit nicht angemeldet und haben deshalb nur Gast-Privilegien. Einige Funktionen (z.B. Postings, Kommentare, Bewertungen, Statistiken) sind deshalb deaktiviert. Zudem ist für Gäste in einigen Bereichen Werbung geschaltet.
Melden Sie sich an und loggen Sie sich ein, um Zugriff auf sämtliche Bereiche zu erhalten. |
| Dinge ändern sich (Montag, 16. April 2012 - 08:48:35) |
 [Marc's Blog] Als Kind und Jugendlicher war mir vor allem eines wichtig: Integrität. Das ist mir auch heute noch wichtig. Doch Durchsetzungsvermögen ohne Kompromissbereitschaft darf nicht fälschlicherweise als Integrität verstanden werden.
Ich hörte lange Zeit Punkrock und konnte mit anderen Stilrichtungen so gar nichts anfangen. Bands wie Exploited (Welch Ironie des Schicksals!) und Abstürzende Brieftauben sollten in erster Linie aus meinem Kassettengerät scheppern. Als mein bester Freund dann plötzlich anfing Grunge und dieses mühsame Gekrächze von Nirvana zu hören, fühlte ich mich verraten. Doch nur wenige Jahre später vollzog auch ich die Transition und konnte mich plötzlich für The Offspring und Alice in Chains begeistern. Im späteren Verlauf wurde mir sogar Metal (Metallica), Rock (Jimi Hendrix), Hip Hop (Beastie Boys) und Dubstep (Skrillex) schmackhaft. Das sah ich aber stets als Erweiterung meines Horizonts, denn ich wusste sehr genau, wo die Wurzeln meines Musikgeschmacks liegen sollten.
Im Bereich der Informationstechnologie scheine ich eine ähnliche Transition bzw. Erweiterung meinerseits beobachtet zu haben. Mitte der 90er Jahre durch das Verhalten von Microsoft angewiedert, setzte ich mehr als 5 Jahre ausschliesslich Linux ein. Angefangen mit SuSE und Red Hat bin ich dann schnell bei Debian gelandet und bis heute da geblieben. Auch viele andere alternative Betriebssysteme wollte ich kennenlernen: OS/2, Sun Solaris, OpenBSD, BeOS, QNX - Um nur mal einige zu nennen. Heute setze ich aber auch wieder Windows ein. Mein schier religiöser Eifer des Linux-Puristen ist einem lösungsorientierten Denken gewichen. Denn so hat jedes Betriebssystem seine Vorteile, die es zum richtigen Zeitpunkt zu nutzen gilt.
Meine Einstellung zu sozialen Netzen hat sich in den letzten 15 Jahren auch gewandelt. Als einer der Beta-Tester von OpenBC - so hiess Xing bei seinem Start - konnte ich mich so gar nicht dafür erwärmen. Zwischenmenschliche Kontakte schienen mir bedeutend wichtiger, um Geschäfte machen zu können. Dieser Grundsatz gilt zwar bis heute, soll aber nicht dass Nutzen von Business Networks ausschliessen. Neben Xing und LinkedIn bin ich mittlerweile selbst auf Facebook (nur privat) und Twitter (momentan 1230 Follower) aktiv. Und ich möchte diese Sozialen Netze nicht mehr missen.
Bei vielen Menschen würde ich mir manchmal wünschen, dass sie sich bewusst werden, was sie mögen, aus welchen Gründen sie es mögen und welche Alternativen es gibt. Dieser Wunsch ist nicht nur auf den Bereich der Informationstechnologie beschränkt. Auch in anderen Lebensbereichen - sei dies nun eine politische Einstellung oder das Bevorzugen einer Automarke - kann eine solche Offenheit für alle nur von Vorteil sein. Und ich hoffe, dass ich mein ganzes Leben daran arbeiten darf, mich mit neuen Möglichkeiten auseinandersetzen zu können.
|
| Was macht ein gutes Firewall-Regelwerk aus? (Montag, 2. April 2012 - 08:21:17) |
[Marc's Blog] Seit der Gründung unseres Unternehmens im Jahr 2002 führen wir sogenannte Firewall Rule Reviews durch - Tatsächlich war das erste Projekt eine eben solche. Dabei wird das Regelwerk einer Firewall auf seine Sicherheit hin untersucht.
Typische Fehler sind hierbei grosszügige Regelsätze, die sich bis zu unliebsamen ANY-Rules erstrecken können. Oft sind es aber einfach nur lax gesetzte Subnetzmasken oder breit gefächerte IP-Adressbereiche. Ein Fehler, der oftmals auf geringes Interesse oder fehlendes Verständnis für die eingesetzten Netzwerkapplikationen zurückzuführen ist. In vielen Fällen können ja noch nicht mal die Entwickler genau sagen, welche Ports eine Anwendung nun benötigen wird.
Ein anderes typisches Problem sind unsauber durchgesetzte Gruppierungen. Da werden beispielsweise Rechner aus unterschiedlichen Netzbereichen - die wiederum unterschiedlichen Sicherheitsanforderungen unterliegen - in einer Regel zusammengefasst. Oder man kombiniert schon beinahe willkürlich irgendwelche Ports bzw. Dienste, um sie in einer einzelnen Regel einzusetzen. Im erster Fall kann dies zu einer krassen Abschwächung der Netzwerksicherheit führen. Im zweiten Fall kämpft man meistens mittelfristig mit den administrativen Tücken dieser Nachlässigkeit.
Gerne wird aber vergessen, dass ein gut gewartetes Firewall-Regelwerk ebenso Logging-Mechanismen berücksichtigt und eine umfassende Dokumentation aufweist. Beides sind Aspekte, die man oftmals nicht direkt der Sicherheit eines Netzwerks anrechnen würde. Die Erfahrung hat aber gezeigt, dass diese Ansätze massgeblich zur Vitalität einer Umgebung beitragen können. Vielleicht nicht heute, aber spätestens morgen. Und genau aus diesem Grund bemängeln wir nicht nur technische Fehler bei einer entsprechenden Untersuchung, sondern wir versuchen ebenfalls konzeptionelle und organisatorische Bereiche abzudecken.
|
| Falsches Risikomanagement am Beispiel der Kernkraft (Montag, 19. März 2012 - 11:16:01) |
[Marc's Blog] Man erinnert sich nicht gerne zurück, an die Zeit des Zwischenfalls in den Atomreaktoren in Fukushima. Zu real ist die Bedrohung, die von Zwischenfällen wie diesem ausgeht. Als die Ereignisse noch sehr frisch waren, wurden rege und emotional die Risiken von Kernkraftwerken diskutiert. Plötzlich schien sich jeder mit den Risiken entsprechender Lösungen auszukennen.
Tatsächlich - und dies habe ich in meinem unmittelbaren Umfeld erfahren - wurde sehr viel Halbwissen und Unsinn erzählt. Ein Grossteil der Leute, die sich nicht mit Risikomanagement auskennen, haben für die rigorose Abschaltung sämtlicher Kernkraftwerke plädiert. Dem hatte ich jeweils nur ein Wort entgegenzusetzen: Wieso?
Die spontanen Antworten waren, dass man Kernkraft schlichtweg nicht sicher betreiben könne. Und spätestens dann, wenn das Wort "sicher" gefallen ist, dann fühle ich mich in der Diskussion zu Hause. Denn so stellte ich die nächste Frage: Wieso ist es denn nicht sicher?
Kernkraftwerke seien nicht sicher, weil sich bei einem Zwischenfall verheerende Folgen entfalten würden. Explosion und atomare Strahlung würden in unmittelbarer und langwieriger Weise zu Krankheit und Tod führen. Dem will ich nicht widersprechen, doch beantwortet es meine Frage nicht. Damit wird schliesslich nur die hohe Tragweite der Auswirkungen eines Zwischenfalls illustriert. Das Risiko der Eintrittswahrscheinlichkeit, und diese ist für die Erfüllung der Auswirkungen zwingend erforderlich, wurde noch nicht angesprochen.
In den allermeisten Fällen ist jetzt der Zeitpunkt erreicht, bei dem sich die Leute argumentativ in die Enge gedrängt fühlen. Man bezieht sich dann schnell auf Fukishima, das nicht für die Situation von Erdbeben und Tsunami ausgerichtet wurde. Man habe bei der Erarbeitung der Anlage Risiken ignoriert.
Offensichtlich konnte die Anlage nicht mit den besagten Ereignissen umgehen. Es handelt sich aber auch um ein bis dato einmaliges Ereignis, das sich statistisch nicht in offensichtlicher Weise voraussagen liess. Also eine Eventualität, die schlichtweg ignoriert werden musste.
Ein gewisses Entsetzen zeichnet sich auf den Gesichtern meiner Gesprächspartner ab. Risiken ignorieren? Nein, sowas dürfe man niemals tun, wird dann gesagt. Doch wir tun es jeden Tag. Wir überqueren die Strasse, manchmal sogar abseits des Fussgängerstreifens, obwohl ein realistisches Risiko eines Unfalls besteht. Im Auto fahren wir mehr als 20 km/h, obwohl erst ab dieser Geschwindigkeit das Risiko eines Schleudertraumas besteht. usw.
Das Leben besteht im Abschätzen, Vermindern und Akzeptieren von Risiken. Manche Risiken will man nicht akzeptieren. Manche Risiken kann man verringern. Kann oder will man gewisse Risiken nicht vermindern, spricht man von Restrisiken.
Mit den Restrisiken muss man leben. Wollen wir Strom aus Kernkraft, dann müssen wir die Restrisiken akzeptieren. Betrachtet man die Eintrittswahrscheinlichkeit von gefährlichen Zwischenfällen, dann wurden die Risiken soweit sehr gut verringert. Sie aber gänzlich zu eliminieren, das bleibt auch hier - genauso wie beim Autofahren - schlichtweg nicht möglich.
Wenn wir nun rigoros Kernkraft abschalten, dann müssten wir genauso rigoros Fussgänger und das Fahren mit mehr als 20 km/h verbieten. Und viele andere Sachen auch (Alkohol, Lifte/Treppen, Pilze, etc.). Stattdessen sollten wir den geplanten Ausstieg aus der Atomkraft angehen und endlich auf erneuerbare Energiegewinnung setzen. Die Rückkehr zu Kohlekraftwerken darf beispielsweise nicht passieren, denn dies wäre meines Erachtens ein schlimmer Rückschritt. Auch wenn das akute Risiko, wie man es von der Kernkraft her kennt, hier nicht bestehen bliebe.
|
|
