Magazin-Artikel - Übersicht 2014

Dipl.-Inform. Carsten Eilers

Einschränkung der Auswahl

Alle Artikel aus
    2014     2013     2012     2011     2010     2008/2009
oder nur Artikel des
• Entwickler Magazin aus
    2014     2013     2012     2011     2008-2010
• Mobile Technology aus
    2014     2012/2013
• PHP Magazin / PHP User aus
    2015     2014     2013     2012     2011     2009/2010
• windows.developer / dot.Net Magazin aus
    2014     2013     2012     2008-2011
• oder der anderen Magazine


JavaScript und die Sicherheit

Welche neuen Angriffe gibt es und wie kann man sie verhindern?

Buchtitel

Im windows.developer 12.2014 ist ein Artikel über Angriffe zur Sicherheit von JavaScript erschienen. Darin geht es um zwei Themen: Zum einen um einige neue bzw. verbesserte Angriffe, die auf den Sicherheitskonferenzen vorgestellt wurden. Zum anderen um zwei Möglichkeiten, solchen Angriffen zu begegnen.

Links


NoSQL, no SQL Injection - no Security?

Wie angreifbar sind NoSQL-Datenbanken?

Buchtitel

Im PHP Magazin 1.2015 ist ein Artikel über die Sicherheit von NoSQL-Datenbanken erschienen. Eine Datenbank ist für einen Angreifer fast immer interessant, denn meist enthält sie wertvolle Daten, die er gerne hätte. Im Fall von SQL-Datenbanken versuchen die Angreifer im Allgemeinen, diese Daten über einen SQL-Injection Angriff abzufragen. Davor schützt die Verwendung von Prepared Statement, die parametrisiert aufgerufen werden. Aber wie sieht es mit der Sicherheit von NoSQL-Datenbanken aus?

Links


Angriffsziel DSLR

Was passieren kann, wenn man in Fotoapparate einen Internetzugang einbaut

Buchtitel

Im Magazin Mobile Technology 4.2014 ist ein Artikel über Angriffe auf DSLR erschienen. Denn wenn man die mit einem Netzwerk verbindet, kšnnen sie aus diesem heraus auch angegriffen werden.

Links


Zu Lande, zu Wasser und in der Luft

Angriffe auf Embedded Systems in Autos, Flugzeugen und Schiffen

Buchtitel

Im Entwickler Magazin 6.14 ist ein Artikel über Angriffe auf Embedded Systems in Autos, Flugzeugen und Schiffen erschienen. Denn Computer lassen sich nicht nur angreifen, wenn sie auf dem Schreibtisch oder im Rechenzentrum stehen, sondern auch wenn sie in Autos, Flugzeugen oder Schiffen eingebaut sind.

Links


Exotisches Ungeziefer

Schädlinge für Windows sind nicht mehr das einzige Problem

Buchtitel

Im windows.developer 11.2014 ist ein Artikel über Schädlinge jenseits von Windows erschienen. Was eigentlich als unterhaltsamer Text geplant war, wurde von der Entwicklung überholt: SynoLocker für Synology-NAS-Systeme und BackOff für Point-of-Sale-Systeme sind zwei Schädlinge, die großen Schaden anrichten können und schon angerichtet haben.

Links


Pixel Perfect

Wie die Grafikfunktionen von HTML5 Ihre Sicherheit und Privatsphäre gefährden

Buchtitel

Im PHP Magazin 6.2014 ist ein Artikel über die Sicherheit der Grafikfunktionen von HTML5 erschienen. Mit denen lässt sich die Same Origin Policy unterlaufen, und durch Canvas Fingerprinting wird die Privatsphäre gefährdet.

Links


Lebensretter an Tag Null

Das Enhanced Mitigation Experience Toolkit schützt vor 0-Day-Exploits

Buchtitel

Im windows.developer 10.2014 ist ein Artikel über das Enhanced Mitigation Experience Toolkit (EMET) erschienen. Es gibt eine ganze Reihe so genannter Mitigations, mit denen die Ausnutzung von Schwachstellen erschwert werden kann. Eigentlich ist es Aufgabe der Entwickler, diese Mitigations in ihren Programmen zu nutzen. Tun sie das nicht, kann man mit Microsofts EMET nachhelfen. Und das sollte man auch, denn die Mitigations erschweren auch Angriffe mit 0-Day-Exploits, also auf Schwachstellen, für die es noch keinen Patch gibt. Und dann können nur die Mitigations den Erfolg des Angriffs verhindern.

Links


Angriffsziel Industriesteuerungen

Von Sicherheitslücken, Würmern und Co.

Buchtitel

Im Entwickler Magazin 5.14 ist ein Artikel über Angriffe auf Industriesteuerungen erschienen. Industriesteuerungen mit Internetanschluss sind eine schlechte Idee Aber auch ohne Internetanschluss sind sich nicht unbedingt sicher, wie Stuxnet eindrucksvoll bewiesen hat. Wie sieht es also mit der Sicherheit von Industriesteuerungen aus?

Links

Ergänzend gibt es in meinem Blog ab hier einen Serie von Artikeln mit einem Überblick über die Vorträge zu SCADA-Systemen und Industriesteuerungen auf den Sicherheitskonferenzen ab 2010.


Androids Sicherheit aus Forschersicht

Was wurde auf Sicherheitskonferenzen zu Android vorgestellt?

Buchtitel

Im Magazin Mobile Technology 3.2014 ist ein Artikel über die Vorträge zu Android auf den Sicherheitskonferenzen erschienen.

"IT-Sicherheit" ist allgemein ein sehr dynamischer Bereich, und Android macht da keine Ausnahme. Neue Technologien erlauben neue Angriffe, bekannte Angriffe aus der Windows-Welt werden auf Android übertragen, und alte Angriffe weiter verfeinert. Wenn es um die Verbesserung oder auch nur Erhaltung der Sicherheit geht, gibt es immer genug zu tun. Und das gilt für die Entwickler ebenso wie für die Benutzer. Dabei sind die Sicherheitskonferenzen ein guter Wegweiser - was dort vorgestellt wird, wird früher oder später auch die Allgemeinheit betreffen. Oder betrifft sie bereits, sofern es um die Analysen bekannter Angriffe geht. Aus denen man dann für die Zukunft lernen sollte.

Links


Heute aufgezeichnet – morgen entschlüsselt?

Wie Perfect Forward Secrecy vor der Entschlüsselung gehorteter Daten schützt

Buchtitel

Im PHP Magazin 5.2014 ist ein Artikel über SSL/TLS und die Sicherung der Kommunikation vor nachträglicher Entschlüsselung durch Perfect Forward Secrecy erschienen. Neben den NSA-Enthüllungen hat auch die Heartbleed-Schwachstelle gezeigt, wie wichtig dieser Schutz ist. Perfect Forward Secrecy verhindert, dass eine heute aufgezeichnete SSL-Kommunikation in der Zukunft entschlüsselt werden kann, weil das SSL-Zertifikat und damit der verwendete private Schlüssel ausgespäht wurde.

Links


Google Hacking, the Bing Way

Mit Suchmaschinen Dinge finden, die nicht gefunden werden sollen

Buchtitel

Im windows.developer 8.2014 ist ein Artikel über das "Google Hacking" mit Bing erschienen. Denn auch mit Bing lässt sich manches finden, was eigentlich gar nicht gefunden werden sollte. Wenn man auf Anfragen aus der Google Hacking Database zurück greift muss man die mitunter etwas an Bing anpassen, für eigene Anfragen kann man sofort Bings Möglichkeiten nutzen.

Links


Internet of (In)Security?

Risiken und Gefahrenpotenziale in der Heimautomation

Buchtitel

Auch im Entwickler Magazin Spezial "Internet of Things" ist der Artikel über die Risiken und Gefahrenpotenziale in der Heimautomation enthalten. Es gab bereits mehr oder weniger kritische Schwachstellen in der wohl mitunter etwas blauäugig implementierten Firmware der Dinge, die da mit dem Internet verbunden werden und dadurch natürlich auch möglichen Angriffen ausgesetzt sind.

Links


Internet of (In)Security?

Risiken und Gefahrenpotenziale in der Heimautomation

Buchtitel

Im Entwickler Magazin 4.14 ist ein Artikel über die Risiken und Gefahrenpotenziale in der Heimautomation erschienen. Es gab bereits mehr oder weniger kritische Schwachstellen in der wohl mitunter etwas blauäugig implementierten Firmware der Dinge, die da mit dem Internet verbunden werden und dadurch natürlich auch möglichen Angriffen ausgesetzt sind.

Links


Angriffsziel UI

UI-Redressing aka Clickjacking

Buchtitel

Im PHP Magazin 4.2014 ist ein Artikel über das auch als UI-Redressing bezeichnete Clickjacking erschienen. Seit dessen Entdeckung hat sich da einiges getan.

Links


In Redmond nichts Neues

Ein bisschen was zur Sicherheit (nicht nur) des SQL Servers 2014

Buchtitel

Im windows.developer 6.2014 ist ein Artikel zur Sicherheit von SQL allgemein und des SQL Servers 2014 im besonderen erschienen. Aus Sicherheitssicht gibt es beim SQL Server 2014 wenig Neues. Aber ein Thema ist ja leider immer aktuell: SQL Injection und wie man sie verhindert. Vor allem um letzteres geht es in diesem Artikel, die Neuerungen bei der Sicherheit gibt es quasi als Zugabe.

Links


Doppelt genäht hält besser

Zwei-Faktor-Authentifizierung mit dem Google Authenticator

Buchtitel

Im Magazin Mobile Technology 2.2014 ist ein Artikel über die Zwei-Faktor-Authentifizierung mit dem Google Authenticator erschienen. Die Kombination aus Benutzername und Passwort reichte lange aus, um einen Benutzer sicher zu identifizieren. Inzwischen gelangen diese Zugangsdaten immer öfter in falsche Hände. Also muss ein zusätzlicher Faktor die Authentifizierung absichern, wenn man wirklich auf Nummer Sicher gehen will. Der Google Authenticator stellt so einen zweiten Faktor dar.

Links


Kryptostandards im NSA-Zeitalter

Teil 3: Die NSA und ihr Einfluss auf Standards

Buchtitel

Im Entwickler Magazin 3.2014 ist der dritte (und letzte) Artikel einer kleinen Serie über die Sicherheit kryptographischer Verfahren angesichts der NSA-Enthüllungen erschienen. Die NSA hat die Entwicklung verschiedener Standards beeinflusst. Ein Pseudo-Zufallszahlengenerator enthält eine Hintertür, IPsec ist so kompliziert, das es kaum sicher implementier- und nutzbar ist, und das ist wahrscheinlich nur die Spitze eines Eisbergs an Manipulationen.

Links


PowerShell sicher einsetzen

Sicherheit der PowerShell im Überblick

Buchtitel

Im windows.developer 5.2014 ist ein Artikel über die Sicherheit der PowerShell erschienen: Wie wird die PowerShell vor Missbrauch geschützt, welche Angriffe auf/über die PowerShell gibt es, und auf was muss man bei ihrem Einsatz achten?

Links


Doppelt hält besser

Einloggen mit zwei Faktoren ist deutlich sicherer

Buchtitel

Im PHP Magazin 3.2014 ist ein Artikel über die Zwei-Faktor-Authentifizierung erschienen. Die Kombination aus Benutzername und Passwort reichte lange aus, um einen Benutzer sicher zu identifizieren. Inzwischen gelangen diese Zugangsdaten immer öfter in falsche Hände. Also muss ein zusätzlicher Faktor die Authentifizierung absichern, wenn man wirklich auf Nummer Sicher gehen will.

Links


Googlest du noch oder hackst du schon?

Hacking leicht gemacht

In der WIK - Zeitschrift fuer die Sicherheit der Wirtschaft 2014/1 ist ein Artikel über das Google Hacking erschienen. Vorgestellt werden Google-Hacking, die Google Hacking Database, SHODAN und einige ausgewählte Angriffe.

Links


Kryptografie im NSA-Zeitalter

Teil 2: Wie sicher sind asymmetrische und hybride Verfahren noch?

Buchtitel

Im Entwickler Magazin 2.2014 ist der zweite Artikel einer kleinen Serie über die Sicherheit kryptographischer Verfahren angesichts der NSA-Enthüllungen erschienen. Seit der Veröffentlichung der von Edward Snowden geleakten NSA-Daten ist die Verunsicherung groß: Wo hat die NSA überall die Finger im Spiel? Was ist noch sicher? Welchen Protokollen kann man noch vertrauen? Ich werde versuchen, diese Fragen in einer kleinen Artikelserie zu beantworten. In dieser Folge geht es um asymmetrischer Verschlüsselung, bei der zum Ver- und Entschlüsseln verschiedene Schlüssel verwendet werden, und die aus symmetrischen und asymmetrischen Systemen kombinierten hybriden Systeme.

Links


Die OWASP Top 10

Die gefährlichsten Webanwendungsschwachstellen im Überblick

Buchtitel

Im Entwickler Magazin 2.2014 ist der erste Teil eines zweiteiligen Artikels über die OWASP Top 10, die zehn gefährlichsten Schwachstellen in Webanwendungen, erschienen. Die Reihenfolge der Schwachstellen ergibt sich aus vier Faktoren:

  1. Die Wahrscheinlichkeit dafür, dass eine Webanwendung die Schwachstelle enthält ("Prevalence").
  2. Die Wahrscheinlichkeit dafür, dass ein Angreifer die Schwachstelle entdeckt ("Detectability").
  3. Die Wahrscheinlichkeit dafür, dass ein Angreifer die Schwachstelle erfolgreich ausnutzt ("Exploitability").
  4. Die typischen Folgen eines Angriffs ("Impact").

Los geht es mit den Plätzen 1 bis 5:

Links


JavaScript in Angreiferhand

JavaScript ermöglicht nicht nur den Webentwicklern viele Möglichkeiten

Buchtitel

Im windows.developer 3.2014 ist ein Artikel über Angriffe über JavaScript erschienen. JavaScript-Code kann so wie jedes andere Computerprogramm auch Schwachstellen enthalten, und so wie jede andere Programmiersprache können auch in JavaScript Schadprogramme geschrieben werden. Beide Möglichkeiten werden natürlich von Angreifern ausgenutzt - warum sollten sie auch darauf verzichten?

Links


Vom Smartphone zum Spy Phone

Ist das da ein Handy in Ihrer Tasche oder eine Wanze?

Buchtitel

Im Magazin Mobile Technology 1.2014 ist ein Artikel über Spyphones erschienen. Smartphones sind klein, unauffällig, (fast) überall dabei - und damit das ideale Werkzeug, um ihre Benutzer auszuspionieren. Es gibt sogar schon eine Bezeichnung für derartige präparierte Smartphones: Spyphones. Und was die alles können, ist erschreckend.

Links


Android im Visier der Cyberkriminellen

Android ist ein offenes System – auch für Angreifer

Buchtitel

Im Magazin Mobile Technology 1.2014 ist ein Artikel über Angriffe auf Android-Smartphones erschienen. iOS ist in seinem "walled garden" mit seinem App Store zumindest vor bösartigen Apps recht gut geschützt, siehe Mobile Technology 4.2102. Android ist dagegen eine offenes System - und damit auch offen für bösartige Apps und alle mögliche Schadsoftware.

Links


Angriffsziel Webbrowser

Wie sieht es derzeit mit der Sicherheit von HTML5 und JavaScript aus?

Buchtitel

Im PHP Magazin 2.2014 ist ein Artikel über den aktuellen Stand der Sicherheit von HTML5 und JavaScript erschienen. Im PHP Magazin 3 und 4/2012 wurden zuletzt Artikel über die Sicherheit von HTML5 veröffentlicht. Da drängt sich doch die Frage auf, wie es denn aktuell um die Sicherheit von HTML5 und JavaScript bestellt ist. Gibt es neue Angriffe? "In the wild" zum Glück nicht, in der Theorie dafür schon.

Links


Azure und die Sicherheit

Eine kurze Bestandsaufnahme zur Sicherheit von Azure

Buchtitel

Im windows.developer 2.2014 ist ein Artikel über den aktuellen Stand der Sicherheit von Azure erschienen. Im windows.developer 10.2012 war bereits ein Artikel über die Sicherheit von Microsofts Cloud erschienen. Da stellt sich natürlich die Frage, wie es denn inzwischen mit der Sicherheit von Azure aussieht. Wenn man mal davon absieht, dass die NSA alles absaugt, was sich finden lässt. Und die Sicherheit von Azure hat sich 2013 durchaus weiterentwickelt. Außerdem hat sich die Unsicherheit nicht erhöht, denn auf den Sicherheitskonferenzen wurden 2013 keine neuen Angriffe auf oder Schwachstellen in Azure präsentiert.

Links


Wie sicher ist Windows 8?

Windows 8 und die Sicherheit – ein Jahr später

Buchtitel

Im windows.developer 1.2014 ist ein Artikel über die Entwicklung der Sicherheit von Windows 8 seit seinem Erscheinen erschienen. Seit der Veröffentlichung von Windows 8 ist etwas mehr als ein Jahr vergangen. Ein Jahr, in dem es keine besonders auffälligen Angriffe durch Cyberkriminelle oder Geheimdienste gab - die konzentrieren sich noch auf die deutlich weiter verbreiteten Vorgängerversionen. Aber wie sieht es denn bei den Sicherheitsforschern aus? Die waren recht aktiv und haben die Sicherheit von Windows 8 gründlich unter die Lupe genommen. Im Artikel gibt es einen Überblick über die auf den Sicherheitskonferenzen vorgestellten Ergebnisse

Links


Kryptografie im NSA-Zeitalter

Teil 1: Wie sicher sind symmetrische Verfahren noch?

Buchtitel

Im Entwickler Magazin 1.2014 ist der erste Artikel einer kleinen Serie über die Sicherheit kryptographischer Verfahren angesichts der NSA-Enthüllungen erschienen. Seit der Veröffentlichung der von Edward Snowden geleakten NSA-Daten ist die Verunsicherung groß: Wo hat die NSA überall die Finger im Spiel? Was ist noch sicher? Welchen Protokollen kann man noch vertrauen? Ich werde versuchen, diese Fragen in einer kleinen Artikelserie zu beantworten. Los geht es mit symmetrischer Verschlüsselung, bei der zum Ver- und Entschlüsseln der gleiche Schlüssel verwendet wird.

Links


Angriffe über Logikfehler

Logikfehler sind mitunter nur schwer zu entdecken, besser ist, sie gleich zu vermeiden

Buchtitel

Im PHP Magazin 1.2014 ist ein Artikel über Logikfehler in Webanwendungen erschienen. Vorgestellt werden einige typische Logikfehler sowie Möglichkeiten, deren Entstehung zu verhindern.

Links