Einschränkung der Auswahl
Alle Artikel aus
2019
2018
2017
2016
2015
2014
2013
2012
2011
2010
2008/2009
oder nur Artikel des
• Entwickler Magazin aus
2019
2018
2017
2016
2015
2014
2013
2012
2011
2008-2010
alle (lang!)
• Mobile Technology aus
2019
2016
2015
2014
2012/2013
alle (lang!)
• PHP Magazin / PHP User aus
2019
2018
2017
2016
2015
2014
2013
2012
2011
2009/2010
alle (lang!)
• windows.developer / dot.Net Magazin aus
2019
2018
2017
2016
2015
2014
2013
2012
2008-2011
alle (lang!)
• oder der anderen Magazine
JavaScript und die Sicherheit
Welche neuen Angriffe gibt es und wie kann man sie verhindern?
Im
windows.developer 12.2014
ist ein Artikel über Angriffe zur Sicherheit von JavaScript
erschienen. Darin geht es um zwei Themen: Zum einen um einige neue bzw.
verbesserte Angriffe, die auf den Sicherheitskonferenzen vorgestellt
wurden. Zum anderen um zwei Möglichkeiten, solchen Angriffen zu
begegnen.
Links
Angriffsziel DSLR
Was passieren kann, wenn man in Fotoapparate einen Internetzugang einbaut
Im Magazin
Mobile Technology 4.2014
ist ein Artikel über Angriffe auf DSLR erschienen. Denn wenn man die
mit einem Netzwerk verbindet, kšnnen sie aus diesem heraus auch
angegriffen werden.
Links
Zu Lande, zu Wasser und in der Luft
Angriffe auf Embedded Systems in Autos, Flugzeugen und Schiffen
Im
Entwickler Magazin 6.14
ist ein Artikel über Angriffe auf Embedded Systems in Autos,
Flugzeugen und Schiffen erschienen. Denn Computer lassen sich nicht nur
angreifen, wenn sie auf dem Schreibtisch oder im Rechenzentrum stehen,
sondern auch wenn sie in Autos, Flugzeugen oder Schiffen eingebaut sind.
Links
- [1] Margi Murphy; Computerworld UK: "Home Office to work with car manufacturers to defend against hackers"
- [2] Chris Greenwood; Daily Mail: "Hackers are blamed for a third of car thefts: One in three vehicles stolen by high-tech criminals who do not need owner's keys"
- [3] ConsumerReports.org: "Hacking car security 12/05: Keyless entry system, car security system" (via Archive.org)
- [4] Steve Bono, Matthew Green, Adam Stubblefield, Avi Rubin, Ari Juels, Michael Szydlo: "Analysis of the Texas Instruments DST RFID" (via archive.org)
- [5] Lestlane News: "Gone in 20 Minutes: using laptops to steal cars" (via archive.org)
- [6] Slashdot: "Using Laptops to Steal Cars"
- [7] Bruce Schneier; Schneier on Security: "Stealing Cars with Laptops"
- [8] Josh Robertson; The Courier-Mail: "$30 device available online blamed for spike in car thefts in Queensland"
- [9] Nitesh Dhanjani: "Cursory Evaluation of the Tesla Model S: We Can't Protect Our Cars Like We Protect Our Workstations"
- [10] Graham Cluley: "How a hacked password can unlock a Tesla car"
- [11] Rob Waugh; ESET We Live Security: "Tesla shocker as researcher picks electric supercar’s lock"
- [12] Karl Koscher, Alexei Czeskis, Franziska Roesner, Shwetak Patel, Tadayoshi Kohno, Stephen Checkoway, Damon McCoy, Brian Kantor, Danny Anderson, Hovav Shacham, Stefan Savage; IEEE Symposium on Security and Privacy 2010: "Experimental Security Analysis of a Modern Automobile" (PDF)
- [13] Alberto Garcia Illera, Javier Vazquez Vidal; Black Hat Asia 2014: "Dude, WTF in My CAN!"
- [14] Charlie Miller, Chris Valasek; DefCon 21 (2013): "Adventures in Automotive Networks and Control Units"
- [15] Chris Valasek, Charlie Miller; IOActive Labs Research Blog: "Car Hacking: The Content"
- [16] Andy Greenberg; Forbes: "Hackers Reveal Nasty New Car Attacks--With Me Behind The Wheel (Video)"
- [17] Charlie Miller, Chris Valasek; SyScan Singapore 2014: "Car Hacking for Poories" (ZIP)
- [18] Stephen Checkoway, Damon McCoy, Brian Kantor, Danny Anderson, Hovav Shacham, Stefan Savage, Karl Koscher, Alexei Czeskis, Franziska Roesner, Tadayoshi Kohno; USENIX Security 2011: "Comprehensive Experimental Analyses of Automotive Attack Surfaces" (PDF)
- [19] Ishtiaq Rouf, Rob Miller, Hossen Mustafa, Travis Taylor, Sangho Oh, Wenyuan Xu, Marco Gruteser, Wade Trappe, Ivan Seskar: "Security and Privacy Vulnerabilities of In-Car Wireless Networks: A Tire Pressure Monitoring System Case Study" (PDF)
- [20] Bruce Schneier; Schneier on Security: "Hacking Cars Through Wireless Tire-Pressure Sensors"
- [21] Charlie Miller, Christopher Valasek; Black Hat USA 2014: "A Survey of Remote Automotive Attack Surfaces"
- [22] Brian Donohue; Kaspersky Lab Blog: "Mobiles Auto-Hacking auf der Black Hat"
- [23] Michael Mimoso; ThreatPost: "Car Hacking Enters Remote Exploitation Phase"
- [24] Chris Valasek; IOActive Labs Research Blog: "Remote survey paper (car hacking)"
- [25] Andy Greenberg; Wired: "Hackers Could Take Control of Your Car. This Device Can Stop Them"
- [26] Wayne Yan, Kai Peng; SyScan360: "Hack Your Car and I’ll Drive You Crazy: the Design of Hack-proof CAN-based Automotive System" (PDF)
- [27] Lisa Vaas; Sophos Naked Security: "$80 million yacht hijacked by students spoofing GPS signals"
- [28] Cockrell School of Engineering: "UT Austin Researchers Spoof Superyacht at Sea"
- [29] Marco Balduzzi, Kyle Wihoit, Alessandro Pasta; Hack in the Box Malaysia 2013: "Hey Captain, Where’s Your Ship? Attacking Vessel Tracking Systems for Fun and Profit"
- [30] Marco Balduzzi, Kyle Wihoit, Alessandro Pasta: "Hey Captain, Where’s Your Ship? Attacking Vessel Tracking Systems for Fun and Profit" (PDF)
- [31] Marco Balduzzi; Black Hat Asia 2014: "AIS Exposed Understanding Vulnerabilities & Attacks 2.0"
- [32] Marco Balduzzi, Alessandro Pasta; Hack in the Box Amsterdam 2014: "AIS Exposed: New Vulnerabilities and Attacks"
- [33] Hugo Teso; Hack in the Box Amsterdam 2013: "Aircraft Hacking: Practical Aero Series"
- [34] Zeljka Zorz, Berislav Kucan; Help Net Security: "Hijacking airplanes with an Android phone"
- [35] Andy Greenberg; Forbes: "Researcher Says He's Found Hackable Flaws In Airplanes' Navigation Systems (Update: The FAA Disagrees)"
- [36] Zeljka Zorz; Help Net Security: "FAA and EASA say hijacking planes using an app is not possible"
- [37] Hugo Teso; Hack in the Box Malaysia 2013: "Digging Deeper into Aviation Security"
- [38] Hugo Teso; n.runs Blog: "Aviation Security - FMS Exploitation Over ACARS"
- [39] Brad "RenderMan" Haines; DefCon 20 (2012): "Hacker + Airplanes = No Good Can Come Of This"
- [40] Lisa Vaas: Sophos Naked Security: "Drone hijacked by hackers from Texas college with $1,000 spoofer"
- [41] Ruben Santamarta; Black Hat USA 2014: "SATCOM Terminals: Hacking by Air, Sea, and Land"
- [42] Ruben Santamarta; IOActive Labs Blog: "A Wake-up Call for SATCOM Security"
- [43] Jim Finkle; Reuters: "Hacker says to show passenger jets at risk of cyber attack"
- [44] Dr. Phil Polstra, Captain Polly Kadolph; DefCon 22 (2014): "Cyberhijacking Airplanes: Truth or Fiction?"
- [45] DefCon 22 Presentation Phil Polstra
- [46] Dr. Phil Polstra: "Cyberhijacking Airplanes: Truth or fiction"
Exotisches Ungeziefer
Schädlinge für Windows sind nicht mehr das einzige Problem
Im
windows.developer 11.2014
ist ein Artikel über Schädlinge jenseits von Windows erschienen.
Was eigentlich als unterhaltsamer Text geplant war, wurde von der
Entwicklung überholt: SynoLocker für Synology-NAS-Systeme und
BackOff für Point-of-Sale-Systeme sind zwei Schädlinge, die
großen Schaden anrichten können und schon angerichtet haben.
Links
- [1] Symantec Schädlings-Datenbank: TIOS.Tigraa
- [2] Carsten Eilers: "Ransomware: Geld her, oder die Daten sind weg"
- [3] Carsten Eilers: "Wie Wifi hackende Katzen mit Ransomware ein nicht tot zu kriegendes Botnet kapern. Oder so."
- [4] Roel Schouwenberg, Securelist: "ZeroLocker won't come to your rescue"
- [5] Artturi Lehtiö, F-Secure: "Ransomware Race (part 2): Personal media the next frontier?"
- [6] Synology: "Synology® Continues to Encourage Users to Update"
- [7] Artturi Lehtiö, F-Secure: "Ransomware Race (Part 3): SynoLocker Under The Hood"
- [8] Artturi Lehtiö, F-Secure: "Ransomware Race (part 5): SynoLocker's unkept promises"
- [9] F-Secure/Synounlocker auf GitHub
- [10] The SBS Guys – Actrix Networks: "My Synology RackStation got Hacked!"
- [11] Synology Inc. Online Community Forum - View topic: "hacked ressource Monitor"
- [12] Synology: "Synology® Fixes Vulnerability in DiskStation Manager"
- [13] US-CERT: Alert (TA14-212A) - Backoff Point-of-Sale Malware
- [14] US-CERT Publications: "Backoff Point-of-Sale Malware"
- [15] Rob VandenBrink, InfoSec Handlers Diary Blog: "Trolling Memory for Credit Cards in POS / PCI Environments"
- [16] Rob VandenBrink, InfoSec Handlers Diary Blog: "One More Day of Trolling in POS Memory"
- [17] Trend Micro Security Intelligence Blog: "New PoS Malware "Backoff" Targets US"
- [18] Symantec Security Response: "Trojan Backoff: A new point-of-sale threat emerges"
- [19] Costin Raiu, Roel Schouwenberg, Ryan Naraine; Securelist: "Sinkholing the Backoff POS Trojan"
- [20] Rob VandenBrink, InfoSec Handlers Diary Blog: "Point of Sale Terminal Protection - "Fortress PCI at the Mall""
- [21] Michael Soboll, Hannoversche Allgemeine Zeitung: "Betrüger plündern Konten von 140 Baumarktkunden in Hannover"
- [22] Dan Petro, Bishop Fox Blog: "The Rickmote Controller: Hacking One Chromecast at a Time"
- [23] Rob Waugh, ESET WeLiveSecurity Blog: "Wi-Fi security alert on Chromecast as ‘Rickmote’ hijacks nearby boxes"
- [24] Carsten Eilers: "Internet of (In)Security?"; Entwickler Magazin 4.14
Pixel Perfect
Wie die Grafikfunktionen von HTML5 Ihre Sicherheit und Privatsphäre gefährden
Im
PHP Magazin 6.2014
ist ein Artikel über die Sicherheit der Grafikfunktionen von HTML5
erschienen. Mit denen lässt sich die Same Origin Policy unterlaufen, und
durch Canvas Fingerprinting wird die Privatsphäre gefährdet.
Links
- [1] Carsten Eilers: "Die dunkle Seite des neuen Webstandards"; PHP Magazin 3.2012
- [2] Carsten Eilers: "HTML5, aber sicher!"; PHP Magazin 4.2012
- [3] Paul Stone, Black Hat USA 2013: "Pixel Perfect Timing Attacks with HTML5"
- [4] W3C: "Timing control for script-based animations", W3C Candidate Recommendation 31 October 2013
- [5] W3C: "Web Style Sheets - CSS tips & tricks: Text shadows"
- [6] W3C: "Filter Effects Module Level 1"
- [7] W3C: "Scalable Vector Graphics (SVG) 1.1 (Second Edition)" - "15 Filter Effects"
- [8] Context Information Security: "WebGL - A New Dimension for Browser Exploitation"
- [9] Robert Kotcher, Yutong Pei, Pranjal Jumde: "Cross-Origin Pixel Stealing: Timing Attacks Using CSS Filters"
- [10] Carsten Eilers: "Clickjacking-Angriffe verhindern - der aktuelle Stand der Dinge"
- [11] Keaton Mowery, Hovav Shacham: "Pixel Perfect: Fingerprinting Canvas in HTML5"
- [12] Gunes Acar, Christian Eubank, Steven Englehardt, Marc Juarez, Arvind Narayanan, Claudia Diaz: "The Web never forgets: Persistent tracking mechanisms in the wild"
- [13] Valentin Vasilyev: Valve/fingerprintjs
- [14] Valentin Vasilyev: "Anonymous Browser Fingerprinting"
- [15] Valentin Vasilyev: Valve/fingerprintjs / fingerprint.js
Lebensretter an Tag Null
Das Enhanced Mitigation Experience Toolkit schützt vor 0-Day-Exploits
Im
windows.developer 10.2014
ist ein Artikel über das Enhanced Mitigation Experience Toolkit (EMET)
erschienen. Es gibt eine ganze Reihe so genannter Mitigations, mit denen
die Ausnutzung von Schwachstellen erschwert werden kann. Eigentlich ist es
Aufgabe der Entwickler, diese Mitigations in ihren Programmen zu nutzen.
Tun sie das nicht, kann man mit Microsofts EMET nachhelfen. Und das sollte
man auch, denn die Mitigations erschweren auch Angriffe mit 0-Day-Exploits,
also auf Schwachstellen, für die es noch keinen Patch gibt. Und dann
können nur die Mitigations den Erfolg des Angriffs verhindern.
Links
- [1] Microsoft: Enhanced Mitigation Experience Toolkit
- [2] Carsten Eilers: "Schutzmaßnahmen: Der Pufferüberlauf im Überblick"
- [3] Carsten Eilers: "Schutzmaßnahmen: Canary und DEP gegen Pufferüberlauf-Schwachstellen"
- [4] Carsten Eilers: "Schutzmaßnahmen: ASLR gegen Pufferüberlauf-Schwachstellen"
- [5] Carsten Eilers: "Schutzmaßnahmen: ASLR kann unterlaufen werden"
- [6] Tim Newton, Ask the Performance Team Blog: "Demystifying Shims - or - Using the App Compat Toolkit to make your old stuff work with your new stuff"
- [7] Carsten Eilers: "Die 0-Day-Exploits 2013 im Überblick"
- [8] Carsten Eilers: "Die 0-Day-Exploits 2014 im Überblick"
- [9] Carsten Eilers: "0-Day-Exploit oder 0-Day-Schwachstelle - was ist denn da der Unterschied?"
- [10] Carsten Eilers: "Wasserloch-Angriffe über 0-Day-Schwachstelle im Internet Explorer"
- [11] Neil Sikka, Security Research & Defense Blog: "Fix it tool available to block Internet Explorer attacks leveraging CVE-2014-0322"
- [12] Darien Kindlund, Dan Caselden, Xiaobo Chen, Ned Moran, Mike Scott; FireEye: "Operation SnowMan: DeputyDog Actor Compromises US Veterans of Foreign Wars Website"
- [13] Carsten Eilers: "Eine neue 0-Day-Schwachstelle in MS Word ist auch über Outlook ausnutzbar"
- [14] Chengyun Chu, Elia Florio; Security Research & Defense Blog: "Security Advisory 2953095: recommendation to stay protected and for detections"
- [15] Elia Florio; Security Research & Defense Blog: "When ASLR makes the difference"
- [16] Matt Miller, Security Research & Defense Blog: "Preventing the Exploitation of Structured Exception Handler (SEH) Overwrites with SEHOP"
- [17] Elia Florio, Security Research & Defense Blog: "EMET 4.0's Certificate Trust Feature"
- [18] Carsten Eilers: "Man-in-the-Middle-Angriffe auf HTTPS"
- [19] EMET Team, Security Research & Defense Blog: "Announcing EMET 5.0 Technical Preview"
- [20] Jared DeMott, Bromium Labs "Call of the Wild" Blog: "Bypassing EMET 4.1"
Angriffsziel Industriesteuerungen
Von Sicherheitslücken, Würmern und Co.
Im
Entwickler Magazin 5.14
ist ein Artikel über Angriffe auf Industriesteuerungen erschienen.
Industriesteuerungen mit Internetanschluss sind eine schlechte Idee Aber
auch ohne Internetanschluss sind sich nicht unbedingt sicher, wie Stuxnet
eindrucksvoll bewiesen hat. Wie sieht es also mit der Sicherheit von
Industriesteuerungen aus?
Links
- [1] Sean Sullivan, F-Secure: "Espionage Attack Uses LNK Shortcut Files"
- [2] Chester Wisniewski, Sophos: "Windows zero-day vulnerability uses shortcut files on USB"
- [3] VirusBlokAda: "Rootkit.TmpHider" (auf Archive.org)
- [4] Microsoft Security Advisory "(2286198): Vulnerability in Windows Shell Could Allow Remote Code Execution"
- [5] Tareq Saade, Microsoft Malware Protection Center: "The Stuxnet Sting"
- [6] Alexander Gostev, Kaspersky: "Myrtus and Guava, Episode 2"
- [7] Chester Wisniewski, Sophos: "Certified uncertainty"
- [8] Sophos: "W32/Stuxnet-B"
- [9] Sean Sullivan, F-Secure: "More Analysis of Case LNK Exploit"
- [10] Graham Cluley, Sophos: "Yes, there's malware. But don't change your SCADA password, advises Siemens"
- [11] Siemens: "SIMATIC WinCC / SIMATIC PCS 7: Information about Malware / Viruses / Trojan horses"
- [12] Christopher Budd, Microsoft Security Response Center: "Out of Band Release to address Microsoft Security Advisory 2286198"
- [13] Holly Stewart, Microsoft Malware Protection Center: "Stuxnet, malicious .LNKs, ...and then there was Sality"
- [14] Microsoft Security Bulletin "MS10-046 - Critical: Vulnerability in Windows Shell Could Allow Remote Code Execution (2286198)"
- [15] Alexander Gostev, Kaspersky: "Myrtus and Guava, Episode MS10-061"
- [16] Liam O Murchu, Symantec: "Stuxnet Using Three Additional Zero-Day Vulnerabilities"
- [17] Nicolas Falliere, Symantec: "Stuxnet Introduces the First Known Rootkit for Industrial Control Systems"
- [18] Nicolas Falliere, Symantec: "Exploring Stuxnet’s PLC Infection Process"
- [19] Eric Chien, Symantec: "Stuxnet: A Breakthrough"
- [20] Frank Rieger, Knowledge Brings Fear: "stuxnet: targeting the iranian enrichment centrifuges in Natanz?"
- [21] William J. Broad, John Markoff, David E. Sanger; New York Times: "Israeli Test on Worm Called Crucial in Iran Nuclear Delay"
- [22] Marty Edwards, Todd Stauffer: "Control System Security Assessments"; 2008 Automation Summit (PDF)
- [23] Kim Zetter, Wired: "How Digital Detectives Deciphered Stuxnet, the Most Menacing Malware in History"
- [24] Paul Roberts, ThreatPost: "Report: Iran Resorts to Rip And Replace To Kill Off Stuxnet"
- [25] David Albright, Paul Brannan, Christina Walrond; Institute for Science and International Security: "Did Stuxnet Take Out 1,000 Centrifuges at the Natanz Enrichment Plant?"
(auch als PDF)
- [26] David Albright, Paul Brannan, Christina Walrond; Institute for Science and International Security: "Stuxnet Malware and Natanz: Update of ISIS December 22, 2010 Report"
(auch als PDF)
- [27] Symantec Security Response, Symantec: "Updated W32.Stuxnet Dossier is Available"
- [28] Richard Sale, ISSSource: "Stuxnet Loaded by Iran Double Agents"
- [29] David E. Sanger , New York Times: "Obama Order Sped Up Wave of Cyberattacks Against Iran"
- [30] Graham Cluley, Sophos: "Stuxnet: How USA and Israel created anti-Iran virus, and then lost control of it"
- [31] Geoff McDonald, Liam O Murchu, Stephen Doherty, Eric Chien; Symantec: "Stuxnet 0.5: The Missing Link" (PDF)
- [32] Ralph Langner, The Langner Group: "To Kill a Centrifuge - A Technical Analysis of What Stuxnet's Creators Tried to Achieve" (PDF)
- [33] Brian Krebs, Krebs on Security: "Cyber Intrusion Blamed for Hardware Failure at Water Utility"
- [34] Brian Donohue, ThreatPost: "Water Utility Damaged by Cyberattack"
- [35] Ellen Nakashima, The Washington Post: "Foreign hackers targeted U.S. water plant in apparent malicious cyber attack, expert says"
- [36] Kim Zettler, Wired: "Exclusive: Comedy of Errors Led to False ‘Water-Pump Hack’ Report"
- [37] pr0f auf Pastebin: loldhs pr0f
- [38] Chester Wisniewski, Sophos: "Interview with SCADA hacker pr0f about the state of infrastructure security"
- [39] Paul Roberts, ThreatPost: "Hacker Says Texas Town Used Three Character Password To Secure Internet Facing SCADA System"
- [40] Jan-Ole Malchow, Johannes Klick; 21. DFN-Workshop "Sicherheit in vernetzten Systemen": "Erreichbarkeit von digitalen Steuergeräten - ein Lagebild" (PDF)
- [41] Carsten Eilers: "Internet of (In)Security?", Entwickler Magazin 4.2014
- [42] Michael Mimoso, ThreatPost: "Shodan Search Engine Project Enumerates Internet-Facing Critical Infrastructure Devices"
- [43] Michael Mimoso, ThreatPost: "Hackers Aggressively Scanning ICS, SCADA Default Credentials, Vulnerabilities"
- [44] ICS-CERT Advisories
- [45] ICS-CERT Alerts
- [46] Carsten Eilers, JAXenter.de: "Die Heartbleed-Katastrophe: Wie funktioniert der Angriff und was kann passieren?"
- [47] ICS-ALERT-14-099-01: "Situational Awareness Alert for OpenSSL Vulnerability"
- [48] Wikipedia: "Unidirectional network"
- [49] genua: Datendiode zur sicheren Vernetzung von Maschinenanlagen und KRITIS
- [50] Daavid Hentunen, F-Secure: "Havex Hunts for ICS/SCADA Systems"
- [51] ICS-CERT - Other Reports
- [52] Steffen Wendzel, Sebastian Szlosarczyk; "Hack in the Box" Amsterdam 2014: "Alice’s Adventures in Smart Building Land – Novel Adventures in a Cyber Physical Environment"
- [53] Billy Rios, "Black Hat" Asia 2014: "Owning a Building: Exploiting Access Control and Facility Management Systems"
- [54] Lucas Apa, Carlos Mario Penagos; "Black Hat" USA 2013: "Compromising Industrial Facilities From 40 Miles Away"
- [55] Eric Forner, Brian Meixell; "Black Hat" USA 2013: "Out of Control: Demonstrating SCADA device exploitation"
- [56] Kyle Wilhoit, "Black Hat" USA 2013: "The SCADA That Didn't Cry Wolf- Who's Really Attacking Your ICS Devices- Part Deux!"
- [57] Dan Tentler, "Hack in the Box" Amsterdam 2013: "System Shock: The Shodan Computer Search Engine"
(Präsentation als PDF)
- [58] Kyle Wilhoit, "Black Hat" Europe 2013: "Who's Really Attacking Your ICS Devices?"
- [59] Carsten Eilers: "SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2010"
Ergänzend gibt es in meinem Blog
ab hier
einen Serie von Artikeln mit einem Überblick über die
Vorträge zu SCADA-Systemen und Industriesteuerungen auf den
Sicherheitskonferenzen ab 2010.
Androids Sicherheit aus Forschersicht
Was wurde auf Sicherheitskonferenzen zu Android vorgestellt?
Im Magazin
Mobile Technology 3.2014
ist ein Artikel über die Vorträge zu Android auf den
Sicherheitskonferenzen erschienen.
"IT-Sicherheit" ist allgemein ein sehr dynamischer Bereich, und Android
macht da keine Ausnahme. Neue Technologien erlauben neue Angriffe, bekannte
Angriffe aus der Windows-Welt werden auf Android übertragen, und alte
Angriffe weiter verfeinert. Wenn es um die Verbesserung oder auch nur
Erhaltung der Sicherheit geht, gibt es immer genug zu tun. Und das gilt
für die Entwickler ebenso wie für die Benutzer. Dabei sind die
Sicherheitskonferenzen ein guter Wegweiser - was dort vorgestellt wird,
wird früher oder später auch die Allgemeinheit betreffen. Oder
betrifft sie bereits, sofern es um die Analysen bekannter Angriffe geht.
Aus denen man dann für die Zukunft lernen sollte.
Links
- [1] Carsten Eilers: "Android im Visier der Cyberkriminellen", Mobile Technology 1.14
- [2] Robert Lipovsky, ESET We live security: "ESET Analyzes First Android File-Encrypting, TOR-enabled Ransomware"
- [3] Simon Bell: "How To Dissect Android Simplelocker Ransomware"
- [4] Simon Bell: "Creating An Antidote For Android Simplelocker Ransomware"
- [5] Carsten Eilers: "GameOver Zeus - Der Name eines Botnets wird zum Programm"
- [6] Alex Kirk, "Hack in the Box" Malaysia 2011: "Mobile Malware Analysis"
(Präsentation als PDF)
- [7] Mahmud Ab Rahman, "Hack in the Box" Malaysia 2011: "Reverse Engineering Android Malware"
(Präsentation als PDF)
- [8] Kevin Mahaffey, The Official Lookout Blog: "Security Alert: DroidDream Malware Found in Official Android Market"
- [9] Carsten Eilers: "Zeus wird mobil - jetzt auch auf Android"
- [10] Carsten Eilers: "Die smsTAN ist tot, der SMS-Dieb schon da!"
- [11] Paul Sabanal, "Hack in the Box" Amsterdam 2014: "State of the ART: Exploring the New Android KitKat Runtime"
- [12] Carsten Eilers: "Schutzmaßnahmen: ASLR gegen Pufferüberlauf-Schwachstellen"
- [13] Collin Mulliner, "Hack in the Box" Malaysia 2013: "Android DDI: Dynamic Dalvik Instrumentation of Android Applications and Framework"
- [14] Collin Mulliner: ddi - Dynamic Dalvik Instrumentation Toolkit
- [15] Jeff Forristal, Black Hat USA 2013: "Android: One Root to Own Them All"
- [16] Brian Donohue, ThreatPost.com: "Android Master Key Malware Emerged Before Official Patch Details"
- [17] Dennis Fisher, ThreatPost.com: "Jeff Forristal on the Android Master-Key Vulnerability"
- [18] Anthony Lineberry, Tim Strazzere, Tim Wyatt; Black Hat USA 2011: "Don't Hate the Player, Hate the Game: Inside the Android Security Patch Lifecycle"
- [19] Tim Wyatt: "Inside the Android Security Patch Lifecycle"
- [20] Lookout Mobile Threat Report 2011, Abschnitt "Platform Vulnerabilities + Patching"
- [21] Marcus Niemietz, Black Hat Abu Dhabi 2012: "UI Redressing Attacks on Android Devices"
- [22] Marcus Niemietz, Black Hat Asia 2014: "UI Redressing Attacks on Android Devices Revisited"
- [23] Carsten Eilers: "Clickjacking - Angriffe auf Seiten ohne Schwachstellen"
- [24] Ajit Hatti, Black Hat Europe 2013: "Lets Play Applanting..."
- [25] George Hotz (Geohot): Towelroot
- [26] George Hotz (Geohot), xda-developers Forum: "I'm throwing a party and you should come **GS5 ROOT THREAD**"
- [27] CVE-2014-3153
- [28] Kees Cook, oss-sec Mailing List: "Re: Linux kernel futex local privilege escalation (CVE-2014-3153)"
- [29] Victor van der Veen, "Hack in the Box" Malaysia 2013: "TraceDroid: A Fast and Complete Android Method Tracer"
(Präsentation als PDF)
- [30] Alexandra Dmitrienko, Ahmad Sadeghi, Christopher Liebchen, Lucas Davi; Black Hat Abu Dhabi 2012: "Over-the-Air Cross-platform Infection for Breaking mTAN-based Online Banking Authentication"
- [31] Charlie Miller, Black Hat USA 2012: "Don’t stand so close to me - An analysis of the NFC attack surface"
- [32] Charlie Miller, "Hack in the Box" Malaysia 2012: "Don’t Stand So Close to Me: An Analysis of the NFC Attack Surface"
(Präsentation als PDF)
- [33] Daniel Peck, Black Hat USA 2013: "Abusing Web APIs Through Scripted Android Applications"
- [34] Carsten Eilers: "Vom Smartphone zum Spy Phone", Mobile Technology 1.14
Heute aufgezeichnet – morgen entschlüsselt?
Wie Perfect Forward Secrecy vor der Entschlüsselung gehorteter Daten schützt
Im
PHP Magazin 5.2014
ist ein Artikel über SSL/TLS und die Sicherung der Kommunikation vor
nachträglicher Entschlüsselung durch Perfect Forward Secrecy
erschienen. Neben den NSA-Enthüllungen hat auch die
Heartbleed-Schwachstelle gezeigt, wie wichtig dieser Schutz ist. Perfect
Forward Secrecy verhindert, dass eine heute aufgezeichnete
SSL-Kommunikation in der Zukunft entschlüsselt werden kann, weil das
SSL-Zertifikat und damit der verwendete private Schlüssel
ausgespäht wurde.
Links
- [1] OpenSSL Security Advisory [07 Apr 2014] - TLS heartbeat read overrun (CVE-2014-0160)
- [2] The Heartbleed Bug
- [3] NCSC-FI Advisory on OpenSSL
- [4] RFC 6520 - Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS) Heartbeat Extension
- [5] xkcd: Heartbleed Explanation
- [6] Theo de Raadt, Newsgroup gmane.os.openbsd.misc: "Re: FYA: http://heartbleed.com/"
- [7] "tedu": "heartbleed vs malloc.conf"
- [8] Tomas Rzepka, @1njected, auf Twitter: "We can extract the private key successfully on FreeBSD after restarting apache and making the first request with ssltest.py"
- [9] Nick Sullivan, CloudFlare Blog: "The Results of the CloudFlare Challenge"
- [10] Nick Sullivan, CloudFlare Blog: "Answering the Critical Question: Can You Get Private SSL Keys Using Heartbleed?"
- [11] The Heartbleed Challenge
(Achtung: Das Zertifikat dieser Seite wurde nach dem erfolgreichen
Ausspähen des privaten Schlüssels zurück gezogen, so dass die Browser
nun einen Fehler melden oder den Aufruf der Seite komplett
blockieren)
- [12] Fedor Indutny: "Cracking Cloudflare's heartbleed challenge"
- [13] indutny/heartbleed auf GitHub: "Extracting server private key using Heartbleed OpenSSL vulnerability."
- [14] Willem Pinckaers, Lekkertech: Analyse eines Patches von Akamai
- [15] Andy Ellis, Akamai: "Heartbleed Update (v3)"
- [16] Dan Goodin, Ars Technica: "Critical crypto bug exposes Yahoo Mail, other passwords Russian roulette-style"
- [17] Robert Graham, Errata Security: "What the heartbleed bug looks like on the wire"
- [18] Daniel Wesemann, InfoSec Handlers Diary Blog: "Finding the bleeders"
- [19] Nicole Perlroth, New York Times Bits: "Study Finds No Evidence of Heartbleed Attacks Before the Bug Was Exposed"
- [20] Peter Eckersley, Electronic Frontier Foundation: "Wild at Heart: Were Intelligence Agencies Using Heartbleed in November 2013?"
- [21] Carsten Eilers: "Neues zum Heartbleed Bug in OpenSSL"
- [22] Carsten Eilers: "Neues rund um die Heartbleed-Schwachstelle"
- [23] Michael Riley, Blomberg: "NSA Said to Exploit Heartbleed Bug for Intelligence for Years"
- [24] ODNI Public Affairs Office, IC ON THE RECORD: "Statement on Bloomberg News story that NSA knew about the "Heartbleed bug" flaw and regularly used it to gather critical intelligence"
- [25] Carsten Eilers: "Nutzt die NSA den Heartbleed Bug seit 2 Jahren?"
- [26] Carsten Eilers: "Quo vadis, SSL? - Wie sicher sind HTTPS-Verbindungen noch?"; Entwickler Magazin 4.2012
- [27] Carsten Eilers: "Man-in-the-Middle-Angriffe auf HTTPS"
- [28] Whitfield Diffie, Martin E. Hellman: "New Directions in Cryptography"
(PDF)
- [29] CNRS (Centre national de la recherche scientique): "New algorithm shakes up cryptography"
- [30] Razvan Barbulescu, Pierrick Gaudry, Antoine Joux, Emmanuel Thomé: "A quasi-polynomial algorithm for discrete logarithm in finite fields of small characteristic"
(PDF)
- [31] RFC 6101 - The Secure Sockets Layer (SSL) Protocol Version 3.0
- [32] RFC 5246 - The Transport Layer Security (TLS) Protocol Version 1.2
- [33] Vincent Bernat: "SSL/TLS & Perfect Forward Secrecy"
- [34] Ivan Ristic, Qualys Blog: "Configuring Apache, Nginx, and OpenSSL for Forward Secrecy"
- [35] Ivan Ristic, Qualys Blog: "SSL Labs: Deploying Forward Secrecy"
- [36] Robert Duncan, Netcraft: "SSL: Intercepted today, decrypted tomorrow"
- [37] SSL Server Test
- [38] Adam Langley, Google Online Security Blog: "Protecting data for the long term with forward secrecy"
- [39] Adam Langley, ImperialViolet: "Forward secrecy for Google HTTPS"
Google Hacking, the Bing Way
Mit Suchmaschinen Dinge finden, die nicht gefunden werden sollen
Im
windows.developer 8.2014
ist ein Artikel über das "Google Hacking" mit Bing erschienen. Denn auch
mit Bing lässt sich manches finden, was eigentlich gar nicht gefunden
werden sollte. Wenn man auf Anfragen aus der Google Hacking Database
zurück greift muss man die mitunter etwas an Bing anpassen, für eigene
Anfragen kann man sofort Bings Möglichkeiten nutzen.
Links
Internet of (In)Security?
Risiken und Gefahrenpotenziale in der Heimautomation
Auch im
Entwickler Magazin Spezial "Internet of Things"
ist der Artikel über die Risiken und Gefahrenpotenziale in der
Heimautomation enthalten. Es gab bereits mehr oder weniger kritische
Schwachstellen in der wohl mitunter etwas blauäugig implementierten
Firmware der Dinge, die da mit dem Internet verbunden werden und dadurch
natürlich auch möglichen Angriffen ausgesetzt sind.
Links
- [1] Louis-F. Stahl, BHKW-Infothek: "Kritische Sicherheitslücke ermöglicht Fremdzugriff auf Systemregler des Vaillant ecoPOWER 1.0"
- [2] Susanne Schneidereit, Louis-F. Stahl; BHKW-Infothek: "Gefahr im Kraftwerk: Auch große BHKW sind betroffen!"
- [3] Gunnar Micheel, Susanne Schneidereit; BHKW-Infothek: "Parlamentarische Anfrage zur Sicherheit von BHKW-Steuerungen und Neues zum Sicherheitsupdate für das ecoPOWER 1.0"
- [4] Susanne Schneidereit, BHKW-Infothek: "Neue ecoPOWER 1.0 Firmware beseitigt Sicherheitslücken"
- [5] Vaillant Deutschland: "Neue VPN-Kommunikationseinheit für Ihren ecoPOWER 1.0" (PDF)
- [6] Ronald Eikenberg, Heise Online: "Kritische Schwachstelle in hunderten Industrieanlagen"
- [7] Louis-F. Stahl, Ronald Eikenberg; Heise Online: "Kritisches Sicherheitsupdate für 200.000 Industriesteuerungen"
- [8] Nitesh Dhanjani, Black Hat Asia 2014: "Abusing the Internet of Things: Blackouts, Freakouts, and Stakeouts"
- [9] Nitesh Dhanjani: "Hacking Lightbulbs"
- [10] "Hacking Lightbulbs" Video auf YouTube
- [11] IOActive: "IOActive Lights Up Vulnerabilities for Over Half a Million Belkin WeMo Users"
- [12] IOActive: "IOActive Security Advisory: Belkin WeMo Home Automation Vulnerabilities" (PDF)
- [13] Jared Allar, US-CERT: Vulnerability Note VU#656302 - Belkin Wemo Home Automation devices contain multiple vulnerabilities
- [14] Belkin, Inc. Information for VU#656302 - Belkin Wemo Home Automation devices contain multiple vulnerabilities
- [15] Behrang Fouladi, Sahand Ghanoun; Black Hat USA 2013: "Honey, I’m Home!! - Hacking Z-Wave Home Automation Systems"
- [16] "Black Hat USA 2013 - Honey, I'm home!! - Hacking Z-Wave Home Automation Systems" Video auf YouTube
- [17] Sensepost Research Labs: "Hacking Z-Wave Home Automation Systems"
- [18] Drew Porter, Stephen Smith; Black Hat USA 2013: "Let's get Physical: Breaking Home Security Systems and Bypassing Buildings Controls"
(Präsentation dazu)
- [19] "Black Hat USA 2013 - Let's get physical: Breaking home security systems & bypassing controls" Video auf YouTube
- [20] Daniel Crowley, David Bryan, Jennifer Savage; Black Hat USA 2013: "Home Invasion 2.0 - Attacking Network-Connected Hardware"
- [21] Trustwave SpiderLabs Security Advisory TWSL2013-020: Hard-Coded Bluetooth PIN Vulnerability in LIXIL Satis Toilet
- [22] Markus Selinger, AV-Test: "Test: Smart-Home-Kits öffnen Tür und Tor – für jeden"
- [23] Carsten Eilers: "Kommentare zu spammenden Kühlschränken, neugierigen Geschäften und mehr"
- [24] Carsten Eilers: "Ransomware: Geld her, oder die Daten sind weg"
Internet of (In)Security?
Risiken und Gefahrenpotenziale in der Heimautomation
Im
Entwickler Magazin 4.14
ist ein Artikel über die Risiken und Gefahrenpotenziale in der
Heimautomation erschienen. Es gab bereits mehr oder weniger kritische
Schwachstellen in der wohl mitunter etwas blauäugig implementierten
Firmware der Dinge, die da mit dem Internet verbunden werden und dadurch
natürlich auch möglichen Angriffen ausgesetzt sind.
Links
- [1] Louis-F. Stahl, BHKW-Infothek: "Kritische Sicherheitslücke ermöglicht Fremdzugriff auf Systemregler des Vaillant ecoPOWER 1.0"
- [2] Susanne Schneidereit, Louis-F. Stahl; BHKW-Infothek: "Gefahr im Kraftwerk: Auch große BHKW sind betroffen!"
- [3] Gunnar Micheel, Susanne Schneidereit; BHKW-Infothek: "Parlamentarische Anfrage zur Sicherheit von BHKW-Steuerungen und Neues zum Sicherheitsupdate für das ecoPOWER 1.0"
- [4] Susanne Schneidereit, BHKW-Infothek: "Neue ecoPOWER 1.0 Firmware beseitigt Sicherheitslücken"
- [5] Vaillant Deutschland: "Neue VPN-Kommunikationseinheit für Ihren ecoPOWER 1.0" (PDF)
- [6] Ronald Eikenberg, Heise Online: "Kritische Schwachstelle in hunderten Industrieanlagen"
- [7] Louis-F. Stahl, Ronald Eikenberg; Heise Online: "Kritisches Sicherheitsupdate für 200.000 Industriesteuerungen"
- [8] Nitesh Dhanjani, Black Hat Asia 2014: "Abusing the Internet of Things: Blackouts, Freakouts, and Stakeouts"
- [9] Nitesh Dhanjani: "Hacking Lightbulbs"
- [10] "Hacking Lightbulbs" Video auf YouTube
- [11] IOActive: "IOActive Lights Up Vulnerabilities for Over Half a Million Belkin WeMo Users"
- [12] IOActive: "IOActive Security Advisory: Belkin WeMo Home Automation Vulnerabilities" (PDF)
- [13] Jared Allar, US-CERT: Vulnerability Note VU#656302 - Belkin Wemo Home Automation devices contain multiple vulnerabilities
- [14] Belkin, Inc. Information for VU#656302 - Belkin Wemo Home Automation devices contain multiple vulnerabilities
- [15] Behrang Fouladi, Sahand Ghanoun; Black Hat USA 2013: "Honey, I’m Home!! - Hacking Z-Wave Home Automation Systems"
- [16] "Black Hat USA 2013 - Honey, I'm home!! - Hacking Z-Wave Home Automation Systems" Video auf YouTube
- [17] Sensepost Research Labs: "Hacking Z-Wave Home Automation Systems"
- [18] Drew Porter, Stephen Smith; Black Hat USA 2013: "Let's get Physical: Breaking Home Security Systems and Bypassing Buildings Controls"
(Präsentation dazu)
- [19] "Black Hat USA 2013 - Let's get physical: Breaking home security systems & bypassing controls" Video auf YouTube
- [20] Daniel Crowley, David Bryan, Jennifer Savage; Black Hat USA 2013: "Home Invasion 2.0 - Attacking Network-Connected Hardware"
- [21] Trustwave SpiderLabs Security Advisory TWSL2013-020: Hard-Coded Bluetooth PIN Vulnerability in LIXIL Satis Toilet
- [22] Markus Selinger, AV-Test: "Test: Smart-Home-Kits öffnen Tür und Tor – für jeden"
- [23] Carsten Eilers: "Kommentare zu spammenden Kühlschränken, neugierigen Geschäften und mehr"
- [24] Carsten Eilers: "Ransomware: Geld her, oder die Daten sind weg"
Angriffsziel UI
UI-Redressing aka Clickjacking
Im
PHP Magazin 4.2014
ist ein Artikel über das auch als UI-Redressing bezeichnete
Clickjacking erschienen. Seit dessen Entdeckung hat sich da einiges getan.
Links
- [1] Carsten Eilers: "Clickjacking - Angriffe auf Seiten ohne Schwachstellen"
- [2] Carsten Eilers: "Der Angriff der Clickjacking-Würmer, "Likejacking" und "Buttonjacking""
- [3] RFC 7034 - HTTP Header Field X-Frame-Options
- [4] Bugzilla@Mozilla Bug 725490:X-Frame-Options: SAMEORIGIN largely useless as implemented
- [5] W3C: Content Security Policy 1.0
- [6] W3C: Content Security Policy 1.1
- [7] W3C: User Interface Security Directives for Content Security Policy
- [8] Mozilla Security Blog: "Content Security Policy 1.0 Lands In Firefox"
- [9] Robert Hansen, Jeremiah Grossman: "Clickjacking"
- [10] Guy Aharonovsky: "Malicious camera spying using ClickJacking"
- [11] Feross Aboukhadijeh: "HOW TO: Spy on the Webcams of Your Website Visitors"
- [12] Ahamed Nafeez: "Adobe Flash Webcam clickjacking - The security fix that wasn't."
- [13] Jitendra Jaiswal, Hacking Concepts: "Click-jacking or UI Redressing"
- [14] Paul Stone, Black Hat Europe 2010: "Next Generation Clickjacking"
- [15] Paul Stone, Context Security: "Clickjacking - Black Hat 2010"
- [16] Paul Stone, Context Security: Clickjacking Tool
- [17] Rosario Valotta, Hack in the Box Amsterdam 2011: "CookieJacking"
(Paper dazu als PDF)
- [18] Rosario Valotta: Cookiejacking FAQ
- [19] Jim Finkle, Reuters: "Microsoft latest security risk: "Cookiejacking""
- [20] Eric Y. Chen, Sergey Gorbaty, Astha Singhal, Collin Jackson; IEEE Symposium on Security and Privacy 2012: "Self-Exfiltration: The Dangers of Browser-Enforced Information Flow Control"
(PDF auf archive.org)
- [21] Luca De Fulgentis, Nibble Security: "UI Redressing Mayhem: Identification Attacks and UI Redressing on Google Chrome"
- [22] Devdatta Akhawe, Black Hat USA 2013: "Clickjacking revisited: A perceptual View of UI Security"
- [23] YouTube-Video: Black Hat USA 2013 - Clickjacking Revisited: A Perceptual View of UI Security
- [24] Carsten Eilers: "Zeus - Trojaner, Botnet, Schädlingsbaukasten, ..."
- [25] Jennifer Gumban, Trend Micro Security Intelligence Blog: "Sunsets and Cats Can Be Hazardous to Your Online Bank Account"
In Redmond nichts Neues
Ein bisschen was zur Sicherheit (nicht nur) des SQL Servers 2014
Im
windows.developer 6.2014
ist ein Artikel zur Sicherheit von SQL allgemein und des SQL Servers 2014
im besonderen erschienen. Aus Sicherheitssicht gibt es beim SQL Server
2014 wenig Neues. Aber ein Thema ist ja leider immer aktuell: SQL
Injection und wie man sie verhindert. Vor allem um letzteres geht es in
diesem Artikel, die Neuerungen bei der Sicherheit gibt es quasi als
Zugabe.
Links
Doppelt genäht hält besser
Zwei-Faktor-Authentifizierung mit dem Google Authenticator
Im Magazin
Mobile Technology 2.2014
ist ein Artikel über die Zwei-Faktor-Authentifizierung mit dem Google
Authenticator erschienen. Die Kombination aus Benutzername und Passwort
reichte lange aus, um einen Benutzer sicher zu identifizieren. Inzwischen
gelangen diese Zugangsdaten immer öfter in falsche Hände. Also
muss ein zusätzlicher Faktor die Authentifizierung absichern, wenn man
wirklich auf Nummer Sicher gehen will. Der Google Authenticator stellt so
einen zweiten Faktor dar.
Der Artikel ist inzwischen auch
online verfügbar.
Links
Kryptostandards im NSA-Zeitalter
Teil 3: Die NSA und ihr Einfluss auf Standards
Im
Entwickler Magazin 3.2014
ist der dritte (und letzte) Artikel einer kleinen Serie über die
Sicherheit kryptographischer Verfahren angesichts der NSA-Enthüllungen
erschienen. Die NSA hat die Entwicklung verschiedener Standards
beeinflusst. Ein Pseudo-Zufallszahlengenerator enthält eine
Hintertür, IPsec ist so kompliziert, das es kaum sicher implementier-
und nutzbar ist, und das ist wahrscheinlich nur die Spitze eines Eisbergs
an Manipulationen.
Links
- [1] Carsten Eilers: "Kryptografie im NSA-Zeitalter - Teil 1: Wie sicher sind symmetrische Verfahren noch?", Entwickler Magazin 1.14
- [2] Carsten Eilers: "Kryptografie im NSA-Zeitalter - Teil 2: Wie sicher sind asymmetrische und hybride Verfahren noch?", Entwickler Magazin 2.14
- [3] Daniel J. Bernstein: "Curve25519: A state-of-the-art Diffie-Hellman function"
- [4] OpenSSH: Changes since OpenSSH 6.4
- [5] Ed25519: high-speed high-security signatures
- [6] NIST Special Publication (SP) 800-90A: Recommendation for Random Number Generation Using Deterministic Random Bit Generators
(PDF, Version vom Januar 2012)
- [7] Berry Schoenmakers, Andrey Sidorenko: "Cryptanalysis of the Dual Elliptic Curve Pseudorandom Generator"
- [8] Daniel R. L. Brown, Kristian Gjøsteen: "A Security Analysis of the NIST SP 800-90 Elliptic Curve Random Number Generator"
- [9] Dan Shumow, Niels Ferguson: "On the Possibility of a Back Door in the NIST SP800-90 Dual Ec Prng"
(PDF)
- [10] Matthew Green: "The Many Flaws of Dual_EC_DRBG"
- [11] FIPS 140-2 - Security Requirements for Cryptographic Modules
(PDF)
- [12] Steve Marquess, Mailingliste openssl-announce: "Flaw in Dual EC DRBG (no, not that one)"
- [13] RSA BSAFE
- [14] Joseph Menn, Reuters: "Exclusive: Secret contract tied NSA and security industry pioneer"
- [15] RSA Security: RSA Response to Media Claims Regarding NSA Relationship
- [16] Nicole Perlroth, Jeff Larson, Scott Shane; New York Times: "N.S.A. Able to Foil Basic Safeguards of Privacy on Web"
- [17] James Ball, Julian Borger, Glenn Greenwald; The Guardian: "Revealed: how US and UK spy agencies defeat internet privacy and security"
- [18] Jeff Larson, Nicole Perlroth, Scott Shane; ProPublica: "Revealed: The NSA’s Secret Campaign to Crack, Undermine Internet Security"
- [19] Nicole Perlroth, New York Times: "Government Announces Steps to Restore Confidence on Encryption Standards"
- [20] NIST: Supplemental ITL Bulletin for September 2013
(PDF)
- [21] Kim Zetter, Wired: "RSA Tells Its Developer Customers: Stop Using NSA-Linked Algorithm"
- [22] Matthew Green: "RSA warns developers not to use RSA products"
- [23] NIST, Office of the Director: "Cryptographic Standards Statement"
- [24] NIST: SP 800-90 Arev1-B-C - DRAFT Draft SP 800-90 Series: Random Bit Generators
- [25] NIST initiating Review of Cryptographic Standards Development Process
- [26] RFC 4301 - Security Architecture for the Internet Protocol
- [27] Niels Ferguson, Bruce Schneier: "A Cryptographic Evaluation of IPsec"
- [28] John Gilmore: "Re: [Cryptography] Opening Discussion: Speculation on "BULLRUN""
- [29] Counterpane Labs: CMEA Cryptanalysis
- [30] Microsoft Security Advisory (2880823) - Deprecation of SHA-1 Hashing Algorithm for Microsoft Root Certificate Program
- [31] Amerk, Windows PKI blog: "SHA1 Deprecation Policy"
- [32] William Peteroy, Security Research & Defense Blog: "Security Advisory 2880823: Recommendation to discontinue use of SHA-1"
- [33] Microsoft Security Advisory (2862973) - Update for Deprecation of MD5 Hashing Algorithm for Microsoft Root Certificate Program
- [34] NIST Computer Security Division - The SHA-3 Cryptographic Hash Algorithm Competition, November 2007 - October 2012
- [35] The Keccak sponge function family
- [36] NIST Computer Security Division - SHA-3 WINNER
- [37] John Kelsey: "SHA3 - Past, Present, and Future"
(PDF)
- [38] Keccak-Entwickler: "Yes, this is Keccak!"
- [39] Bruce Schneier: "Will Keccak = SHA-3?"
- [40] John M. Kelsey: "Moving forward with SHA3"
(PDF)
- [41] European Union Agency for Network and Information Security (ENISA): "Algorithms, Key Sizes and Parameters Report"
- [42] Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen: "Bekanntmachung zur elektronischen Signatur nach dem Signaturgesetz und der Signaturverordnung (Übersicht über geeignete Algorithmen)"
- [43] NIST Special Publication (SP) 800-57: Recommendation for Key Management – Part 1: General (Revision 3)
(PDF)
- [44] BetterCrypto*org
- [45] BetterCrypto*org: "Applied Crypto Hardening"
(PDF)
PowerShell sicher einsetzen
Sicherheit der PowerShell im Überblick
Im
windows.developer 5.2014
ist ein Artikel über die Sicherheit der PowerShell erschienen: Wie
wird die PowerShell vor Missbrauch geschützt, welche Angriffe
auf/über die PowerShell gibt es, und auf was muss man bei ihrem
Einsatz achten?
Links
Doppelt hält besser
Einloggen mit zwei Faktoren ist deutlich sicherer
Im
PHP Magazin 3.2014
ist ein Artikel über die Zwei-Faktor-Authentifizierung erschienen.
Die Kombination aus Benutzername und Passwort reichte lange aus, um einen
Benutzer sicher zu identifizieren. Inzwischen gelangen diese Zugangsdaten
immer öfter in falsche Hände. Also muss ein zusätzlicher Faktor die
Authentifizierung absichern, wenn man wirklich auf Nummer Sicher gehen
will.
Links
Googlest du noch oder hackst du schon?
Hacking leicht gemacht
In der
WIK - Zeitschrift fuer die Sicherheit der Wirtschaft 2014/1
(nicht mehr online und auf archive.org nicht archiviert) ist ein Artikel
über das Google Hacking erschienen. Vorgestellt werden
Google-Hacking, die Google Hacking Database, SHODAN und einige
ausgewählte Angriffe.
Links
Kryptografie im NSA-Zeitalter
Teil 2: Wie sicher sind asymmetrische und hybride Verfahren noch?
Im
Entwickler Magazin 2.2014
ist der zweite Artikel einer kleinen Serie über die Sicherheit
kryptographischer Verfahren angesichts der NSA-Enthüllungen
erschienen. Seit der Veröffentlichung der von Edward Snowden
geleakten NSA-Daten ist die Verunsicherung groß: Wo hat die NSA
überall die Finger im Spiel? Was ist noch sicher? Welchen
Protokollen kann man noch vertrauen? Ich werde versuchen, diese Fragen in
einer kleinen Artikelserie zu beantworten. In dieser Folge geht es um
asymmetrischer Verschlüsselung, bei der zum Ver- und Entschlüsseln
verschiedene Schlüssel verwendet werden, und die aus symmetrischen
und asymmetrischen Systemen kombinierten hybriden Systeme.
Links
- [1] Carsten Eilers: "Kryptografie im NSA-Zeitalter - Teil 1: Wie sicher sind symmetrische Verfahren noch?", Entwickler Magazin 1.14
- [2] Ronald L. Rivest, Adi Shamir, Leonard Adleman: "A Method for Obtaining Digital Signatures and Public-Key Cryptosystems"
(PDF)
- [3] Wikipedia: Erweiterter euklidischer Algorithmus
- [4] Wikipedia: Eulersche Phi-Funktion
- [5] Newsgroup sci.crypt: "RSA factoring challenge", 18.3.1991
- [6] RSA Laboratories: "The RSA Factoring Challenge"
- [7] RSA Laboratories: "The New RSA Factoring Challenge" (14.7.2001, via archive.org)
- [8] RSA Laboratories: "The RSA Challenge Numbers" (5.8.2001, via archive.org)
- [9] RSA Honor Roll (As of March 5, 1999)
- [10] RSA Laboratories: "RSA-140 IS FACTORED!"
- [11] Kazumaro Aoki, Yuji Kida, Takeshi Shimoyama, Hiroki Ueda: "GNFS Factoring Statistics of RSA-100, 110, ..., 150"
- [12] RSA Laboratories: "RSA-155 IS FACTORED!"
- [13] RSA Laboratories: "RSA-160 IS FACTORED!"
- [14] Jens Franke: "We have factored RSA160 by gnfs."
- [15] Dominik Bonenberger, Martin Krone: "Factorization of RSA-170"
(PDF)
- [16] RSA Laboratories: "RSA-576 IS FACTORED!"
- [17] S.A. Danilov, I.A. Popovyan: "Factorization of RSA-180"
- [18] I. Popovyan, A. Timofeev; mersenneforum.org: "RSA-190 factored"
- [19] RSA Laboratories: "RSA-640 IS FACTORED!"
- [20] Jens Franke: "We have factored RSA640 by GNFS."
- [21] RSA Laboratories: "RSA-200 IS FACTORED!"
- [22] Thorsten Kleinjung: "We have factored RSA200 by GNFS."
- [23] mersenneforum.org: "RSA-210 factored"
- [24] Shi Bai, Emmanuel Thomé, Paul Zimmermann: "Factorisation of RSA-704 with CADO-NFS"
(PDF)
- [25] RSA Laboratories: "RSA-768 IS FACTORED!"
- [26] Thorsten Kleinjung, Kazumaro Aoki, Jens Franke, Arjen Lenstra, Emmanuel Thomé, Joppe Bos, Pierrick Gaudry, Alexander Kruppa, Peter Montgomery, Dag Arne Osvik, Herman te Riele, Andrey Timofeev, Paul Zimmermann:
"Factorization of a 768-bit RSA modulus"
- [27] RSA Laboratories: The RSA Challenge Numbers
- [28] RSA Laboratories: The RSA Factoring Challenge FAQ
- [29] Steven Rich, Barton Gellman; The Washington Post: "NSA seeks to build quantum computer that could crack most types of encryption"
- [30] Bruce Schneier: "I personally am concerned about any constant whose origins I don't personally trust."
(Kommentar
unter: Bruce Schneier: "The NSA Is Breaking Most Encryption on the Internet")
- [31] Bruce Schneier, theguardian.com: "NSA surveillance: A guide to staying secure"
- [32] Carsten Eilers: "Quo vadis, SSL? - Wie sicher sind HTTPS-Verbindungen noch?", Entwickler Magazin 4.2012
- [33] Joseph Menn, Reuters: "Exclusive: Secret contract tied NSA and security industry pioneer"
- [34] Speaking of Security - The RSA Blog and Podcast: "RSA Response to Media Claims Regarding NSA Relationship"
- [35] Jacob Appelbaum (@ioerror): "RC4 is broken in real time by the #NSA - stop using it."
- [36] Jacob Appelbaum (@ioerror): "I have confirmed it with several sources - including some with knowledge of #NSA #CES"
- [37] Steve Marquess; Mailingliste openssl-announce: "Flaw in Dual EC DRBG (no, not that one)"
Die OWASP Top 10
Die gefährlichsten Webanwendungsschwachstellen im Überblick
Im
Entwickler Magazin 2.2014
ist der erste Teil eines zweiteiligen Artikels über die OWASP Top 10,
die zehn gefährlichsten Schwachstellen in Webanwendungen, erschienen.
Die Reihenfolge der Schwachstellen ergibt sich aus vier Faktoren:
- Die Wahrscheinlichkeit dafür, dass eine Webanwendung die
Schwachstelle enthält ("Prevalence").
- Die Wahrscheinlichkeit dafür, dass ein Angreifer die
Schwachstelle entdeckt ("Detectability").
- Die Wahrscheinlichkeit dafür, dass ein Angreifer die
Schwachstelle erfolgreich ausnutzt ("Exploitability").
- Die typischen Folgen eines Angriffs ("Impact").
Los geht es mit den Plätzen 1 bis 5:
- A1 - Injection
- A2 - Broken Authentication and Session Management
- A3 - Cross-Site Scripting (XSS)
- A4 - Insecure Direct Object References
- A5 - Security Misconfiguration
Links
JavaScript in Angreiferhand
JavaScript ermöglicht nicht nur den Webentwicklern viele Möglichkeiten
Im
windows.developer 3.2014
ist ein Artikel über Angriffe über JavaScript erschienen.
JavaScript-Code kann so wie jedes andere Computerprogramm auch
Schwachstellen enthalten, und so wie jede andere Programmiersprache können
auch in JavaScript Schadprogramme geschrieben werden. Beide Möglichkeiten
werden natürlich von Angreifern ausgenutzt - warum sollten sie auch darauf
verzichten?
Links
Vom Smartphone zum Spy Phone
Ist das da ein Handy in Ihrer Tasche oder eine Wanze?
Im Magazin
Mobile Technology 1.2014
ist ein Artikel über Spyphones erschienen. Smartphones sind klein,
unauffällig, (fast) überall dabei - und damit das ideale Werkzeug, um ihre
Benutzer auszuspionieren. Es gibt sogar schon eine Bezeichnung für
derartige präparierte Smartphones: Spyphones. Und was die alles können,
ist erschreckend.
Links
- [1] Barton Gellman, Ashkan Soltani; The Washington Post: "NSA tracking cellphone locations worldwide, Snowden documents show"
- [2] The Washington Post: "FASCIA: The NSA's huge trove of location records"
- [3] Malte Spitz: "Sechs Monate meines Lebens in 35.000 Datensätzen"
- [4] Kai Biermann, Zeit Online: "Was Vorratsdaten über uns verraten"
- [5] Lorenz Matzat, Zeit Online: "Malte Spitz’ Vorratsdaten: Der Datensatz unter der Lupe"
- [6] Zeit Online: Verräterisches Handy
- [7] Ranga Yogeshwar: "Mein digitaler Verrat"
- [8] Kevin McNamee: "How To Build a SpyPhone"
- [9] Github: DesignativeDave / androrat - Remote Administration Tool for Android devices
- [10] Andrea Lelli, Symantec: "Remote Access Tool Takes Aim with Android APK Binder"
- [11] Handy-Überwachungs-Software - Handy Spyware - mSpy
- [12] Lisa Vaas, Sophos Naked Security: "mSpy app lets someone remotely snoop on you through your phone or tablet"
- [13] Daniel Brodie, Michael Shaulov; Black Hat USA 2013: "A Practical Attack against MDM Solutions"
- [14] Daniel Brodie, Michael Shaulov; Black Hat Europe 2013: "Practical Attacks against Mobile Device Management (MDM) Solutions"
- [15] Brendan O'Connor; Black Hat USA 2013: "CreepyDOL: Cheap, Distributed Stalking"
- [16] Brendan O'Connor: "CreepyDOL"
- [17] Dan Goodin; Ars Technica: "DIY stalker boxes spy on Wi-Fi users cheaply and with maximum creep value"
- [18] Lisa Vaas, Sophos Naked Security: "Nordstrom tracking customer movement via smartphones' WiFi sniffing"
- [19] Angela Martin, CBS Dallas / Fort Worth: "Nordstrom Using Smart Phones To Track Customers Movements"
- [20] Mark Stockley, Sophos Naked Security: "Is your smartphone broadcasting your movements when you shop?"
- [21] Brian Fung; The Washington Post: "How stores use your phone’s WiFi to track your shopping habits"
- [22] Lisa Vaas, Sophos Naked Security: "London says media company's spying rubbish bins stink"
- [23] Dennis Fisher; Threatpost: "Apple Starts iBeacon Tracking System in Stores"
- [24] Tom Ritter, Doug DePerry, Andrew Rahimi; Black Hat USA 2013: "I can hear you now: Traffic interception and remote mobile phone cloning with a compromised CDMA Femtocell"
- [25] Tom Ritter, iSEC Partners Blog: "Femtocell Presentation Slides, Videos and App"
- [26] Github: iSECPartners / femtocatcher
- [27] Victor Chebyshev, Kaspersky: "Mobile attacks!"
Android im Visier der Cyberkriminellen
Android ist ein offenes System – auch für Angreifer
Im Magazin
Mobile Technology 1.2014
ist ein Artikel über Angriffe auf Android-Smartphones erschienen. iOS
ist in seinem "walled garden" mit seinem App Store zumindest vor
bösartigen Apps recht gut geschützt, siehe Mobile Technology 4.2102.
Android ist dagegen eine offenes System - und damit auch offen für
bösartige Apps und alle mögliche Schadsoftware.
Links
- [1] Carsten Eilers: "Sicher, sicherer, iOS?", Mobile Technology 4.2012
- [2] Kevin Mahaffey, Lookout Blog: "Security Alert: DroidDream Malware Found in Official Android Market", 1.3.2011
- [3] Vanja Svajcer, Sophos Naked Security: "Aftermath of the Droid Dream Android Market malware attack", 3.3.2011
- [4] Rich Cannings, Google Mobile Blog: "An Update on Android Market Security", 5.3.2011
- [5] Rich Cannings, Tim Bray; Android Developers Blog: "Exercising Our Remote Application Removal Feature", 23.6.2010
- [6] Graham Cluley, Sophos Naked Security: "Android malware clean-up exposes reliance on mobile carriers to push out updates", 7.3.2011
- [7] Jon Oberheide, Duo Security Blog: "Early Results from X-Ray: Over 50% of Android Devices are Vulnerable", 12.9.2013
- [8] Paul Roberts, Sophos Naked Security: "More than half of Androids have unpatched security holes, research claims", 17.9.2012
- [9] Graham Cluley, Sophos Naked Security: "Apple: Androids are much less likely to be running an up-to-date OS than iPhones and iPads", 11.6.2012
- [10] Graham Cluley, Sophos Naked Security: "Fake Instagram app infects Android devices with malware", 18.4.2012
- [11] Graham Cluley, Sophos Naked Security: "The Legend of Zelda and dirty tricks by Android apps in the Google Play store", 26.4.2012
- [12] Graham Cluley, Sophos Naked Security: "Fake Apple apps appear on Android Google Play store", 19.11.2012
- [13] Graham Cluley, Sophos Naked Security: "Fake Plants vs Zombies and other Android games infiltrate Google Play store, make money for fraudsters", 21.1.2013
- [14] Sean Sullivan, F-Secure Blog: "Bad Bad Piggies On Google Play", 12.6.2013
- [15] Vanja Svajcer, Sophos Naked Security: "Fake Android Market Security tool delivers more than just a cure for Droid Dream malware", 10.3.2011
- [16] Carsten Eilers: "Angst einflößende Schadsoftware: Scareware", 4.11.2010
- [17] Jovi Umawing, ThreatTrack Security Labs: "New Twitter Spam Run Leads to Android Rogue AV", 14.5.2012
- [18] Graham Cluley, Sophos Naked Security: "Fake anti-virus disguises used by Android malware", 16.5.2012
- [19] Karmina, F-Secure Blog: "Perfecting the Fake - Android Edition", 4.9.2012
- [20] SecResponse, F-Secure Blog: "Not the Mobile Antivirus You Were Looking For", 6.6.2013
- [21] Paul Ducklin, Sophos Naked Security: "Android malware in pictures - a blow-by-blow account of mobile scareware", 31.5.2013
- [22] Graham Cluley, Sophos Naked Security: "New Android Trojan horse could prove costly", 16.2.2011
- [23] Vanja Svajcer, Sophos Naked Security: "Malicious cloned games attack Google Android Market", 12.12.2011
- [24] ThreatSolutions (Irene), F-Secure Blog: "Trojan:Android/OpFake.D Still Encodes Its Config File", 31.1.2012
- [25] Graham Cluley , Sophos Naked Security: "Android malware poses as Angry Birds Space game", 12.4.2012
- [26] Sean Sullivan, F-Secure Blog: "Trojan:Android/Pincer.A", 5.4.2013
- [27] Carsten Eilers: "Zeus - Trojaner, Botnet, Schädlingsbaukasten, ...", 17.3.2011
- [28] Carsten Eilers: "Zeus wird mobil - jetzt auch auf Android", 14.7.2011
- [29] Vanja Svajcer, Sophos Naked Security: "SpyEye targeting Android users - just a copy of Zeus's strategy?", 16.9.2011
- [30] Polizei Berlin: "Präventionshinweis für Onlinebanking im mTAN-Verfahren", 13.11.2012
- [31] Graham Cluley, Sophos Naked Security: "Banking malware found on Android Marketplace", 11.1.2010
- [32] Carsten Eilers: "Drive-by-Infektionen - Gefahren drohen überall", 8.7.2010
- [33] Vanja Svajcer, Sophos Naked Security: "Android malware spreads via Facebook [VIDEO]", 24.2.2012
- [34] Chester Wisniewski, Sophos Naked Security: "Notcom malware for Android distributed using drive-by downloads", 3.5.2012
- [35] Sean Sullivan, F-Secure Blog: "Video: Angry Birds Space Trojan & Drive-by Android", 18.5.2012
- [36] Jaikumar Vijayan, Computerworld: "Remote access tools a growing threat to smartphones", 1.3.2012
- [37] George Kurtz, Dmitri Alperovitch; RSA Conference 2012: "Hacking Exposed: Mobile RAT Edition", Februar 2012:
Video
und Präsentation als
PDF
- [38] Graham Cluley, Sophos Naked Security: "8000 iPhone and Android users duped into joining smartphone botnet", 9.3.2010
- [39] Chester Wisniewski Sophos Naked Security: "Android botnet wants to sell you Viagra, penny stocks and e-cards", 5.7.2012
- [40] Chester Wisniewski, Sophos Naked Security: "Android spam bots? What we know for sure", 6.7.2012
- [41] Vanja Svajcer, Sophos Naked Security: "What is worse on Android? Malware or PUAs?", 13.9.2012
- [42] Sean Sullivan, F-Secure Blog: "Google Play: Potentially Unwanted", 11.3.2013
- [43] Vanja Svajcer, Sophos Naked Security: "A chink in Android Armour", 10.1.2013
- [44] Hiroshi Lockheimer, Google Mobile Blog: "Android and Security", 2.2.2012
Angriffsziel Webbrowser
Wie sieht es derzeit mit der Sicherheit von HTML5 und JavaScript aus?
Im
PHP Magazin 2.2014
ist ein Artikel über den aktuellen Stand der Sicherheit von HTML5 und
JavaScript erschienen. Im PHP Magazin 3 und 4/2012 wurden zuletzt Artikel
über die Sicherheit von HTML5 veröffentlicht. Da drängt
sich doch die Frage auf, wie es denn aktuell um die Sicherheit von HTML5
und JavaScript bestellt ist. Gibt es neue Angriffe? "In the wild" zum
Glück nicht, in der Theorie dafür schon.
Links
- [1] Carsten Eilers: "HTML5 - Die dunkle Seite des neuen Webstandards", PHP Magazin 3.2012
- [2] Carsten Eilers: "HTML5, aber sicher!", PHP Magazin 4.2012
- [3] Carsten Eilers: "Likejacking - Facebook im Visier der Cyberkriminellen"
- [4] Robert McArdle, TrendLabs Security Intelligence Blog: "HTML5 – The Ugly"
- [5] Jeremiah Grossman, Matt Johansen; Black Hat USA 2013: "Million Browser Botnet"
- [6] Carsten Eilers: "Drive-by-Infektionen - Gefahren drohen überall"
- [7] Marc Blanchou, Black Hat Europe 2013: "Harnessing GP2Us Building Better Browser Based Botnets"
- [8] Chema Alonso, Manu "The Sur"; Black Hat USA 2012: "Owning Bad Guys {& Mafia} with JavaScript Botnets"
- [9] BeEF - The Browser Exploitation Framework Project
- [10] Paul Stone, Black Hat USA 2013: "Pixel Perfect Timing Attacks with HTML5"
- [11] Shreeraj Shah, Black Hat Abu Dhabi 2012: "HTML5 Top 10 Threats - Stealth Attacks and Silent Exploits"
- [12] HTML5 Security Cheatsheet
- [13] Carsten Eilers: "Schutzmaßnahmen: Content Security Policy gegen XSS, Teil 1"
- [14] Carsten Eilers: "Schutzmaßnahmen: Content Security Policy gegen XSS, Teil 2"
- [15] Carsten Eilers: "Schutzmaßnahmen: Content Security Policy gegen XSS, Teil 3"
- [16] Carsten Eilers: "Schutzmaßnahmen: Content Security Policy gegen XSS, Teil 4"
- [17] Amit Klein: "DOM Based Cross Site Scripting or XSS of the Third Kind"
- [18] Carsten Eilers: "HTML5 Security - Gefährliche WebSockets"
- [19] Carsten Eilers: "Clickjacking - The next Generation"
- [20] Carsten Eilers: "Clickjacking - Drag&Drop-Angriffe und weitere Neuigkeiten"
- [21] Carsten Eilers: "Cookiejacking - Keksdiebe im Internet Explorer"
- [22] Sergey Shekyan, Vaagn Toukharian; Black Hat USA 2012: "Hacking with WebSockets"
- [23] Sergey Shekyan, Qualys Security Labs Blog: "The Tiny Mighty Waldo"
- [24] Rich Lundeen, Black Hat Europe 2013: "The Deputies are Still Confused"
- [25] Norm Hardy: "The Confused Deputy"
- [26] Steve Ocepek, Ryan Linn; Black Hat USA 2012: "Hookin’ Ain’t Easy - BeEF Injection with MITM"
- [27] Artur Janc, 28C3: "Rootkits in your Web application"
- [28] Carsten Eilers: "HTML5 Security - SVG und Resident XSS"
- [29] Phil Purviance, Joshua Brashars; Black Hat USA 2012: "Blended Threats and JavaScript: A Plan for Permanent Network Compromise"
- [30] Nishant Das Patnaik, Sarathi Sabyasachi Sahoo, Black Hat USA 2013: "JavaScript static security analysis made easy with JSPrime"
- [31] JSPrime
- [32] Paul Royal, Black Hat Abu Dhabi 2012: "Quantifying Maliciousness in Alexa Top-Ranked Domains"
Azure und die Sicherheit
Eine kurze Bestandsaufnahme zur Sicherheit von Azure
Im
windows.developer 2.2014
ist ein Artikel über den aktuellen Stand der Sicherheit von Azure
erschienen. Im windows.developer 10.2012 war bereits ein Artikel über die
Sicherheit von Microsofts Cloud erschienen. Da stellt sich natürlich die
Frage, wie es denn inzwischen mit der Sicherheit von Azure aussieht. Wenn
man mal davon absieht, dass die NSA alles absaugt, was sich finden lässt.
Und die Sicherheit von Azure hat sich 2013 durchaus weiterentwickelt.
Außerdem hat sich die Unsicherheit nicht erhöht, denn auf den
Sicherheitskonferenzen wurden 2013 keine neuen Angriffe auf oder
Schwachstellen in Azure präsentiert.
Links
- [1] Carsten Eilers: "Sicher in der Microsoft Cloud", windows.developer 10.2012
- [2] Sarah Fender, Windows Azure Blog: "Introducing Multi-Factor Authentication on Windows Azure"
- [3] Alex Simons, Active Directory Team Blog: "Windows Azure Active Authentication: Multi-Factor for Security and Compliance"
- [4] Steven Martin, Windows Azure Blog: "Announcing General Availability of Windows Azure Multi-Factor Authentication"
- [5] Scott Guthrie, ScottGu's Blog: "Windows Azure: New Virtual Machine, Active Directory, Multi-Factor Auth, Storage, Web Site and Spending Limit Improvements"
- [6] Lori Woehler, Windows Azure Security Blog: "Windows Azure Receives SOC 2 Type 2 report with CSA CCM Attestation"
- [7] Susie Adams, The Official Microsoft Blog: "Windows Azure cloud services achieve critical federal security milestone"
- [8] Sarah Fender, Windows Azure Blog: "Windows Azure Achieves another Industry First with its FedRAMP JAB P-ATO"
- [9] Joint Authorization Board (JAB)
- [10] Luis Panzano, Luis Panzano - BLOG: "Windows Azure Billing Changes, Dev/Test Scenarios, Hybrid Architectures and other enhancements"
- [11] Michael Washam: "Windows Azure PowerShell June 2013 Update for IaaS and PaaS"
- [12] Microsoft Security TechCenter: New Security Policy for Store Apps
- [13] Microsoft Security TechCenter: Security Bulletin Severity Rating System
- [14] Mike Reavey, Microsoft Trustworthy Computing Blog: "RSA Europe 2013: Operational Security for Online Services"
- [15] Steven Martin, Windows Azure Blog: "Windows Azure Service Disruption from Expired Certificate"
- [16] Mike Neil, Windows Azure Blog: "Details of the February 22nd 2013 Windows Azure Storage Disruption"
- [17] Graham Cluley: "Don’t call it ‘the cloud’. Call it ‘someone else’s computer’"
Wie sicher ist Windows 8?
Windows 8 und die Sicherheit – ein Jahr später
Im
windows.developer 1.2014
ist ein Artikel über die Entwicklung der Sicherheit von Windows 8 seit
seinem Erscheinen erschienen. Seit der Veröffentlichung von Windows 8
ist etwas mehr als ein Jahr vergangen. Ein Jahr, in dem es keine besonders
auffälligen Angriffe durch Cyberkriminelle oder Geheimdienste gab -
die konzentrieren sich noch auf die deutlich weiter verbreiteten
Vorgängerversionen. Aber wie sieht es denn bei den
Sicherheitsforschern aus? Die waren recht aktiv und haben die Sicherheit
von Windows 8 gründlich unter die Lupe genommen. Im Artikel gibt es
einen Überblick über die auf den Sicherheitskonferenzen
vorgestellten Ergebnisse
Links
- [1] Carsten Eilers: "Sicher durch Windows 8", windows.developer 7.2012
- [2] Carsten Eilers: "Die Sandbox und ihre Sicherheit", windows.developer 11.2012
- [3] Yuriy Bulygin, Andrew Furtak, Oleksandr Bazhaniuk; Black Hat USA 2013: "A Tale of One Software Bypass of Windows 8 Secure Boot"
- [4] NIST Special Publication 800-147: "BIOS Protection Guidelines"
(PDF)
- [5] Ling Chuan Lee, Chan Lee Yee; Black Hat USA 2013: "Smashing The Font Scaler Engine in Windows Kernel"
- [6] Carsten Eilers: "Microsoft Security Development Lifecycle", windows.developer 4.2012
- [7] Carsten Eilers: "Schutzmaßnahmen: Canary und DEP gegen Pufferüberlauf-Schwachstellen"
- [8] Carsten Eilers: "Schutzmaßnahmen: ASLR gegen Pufferüberlauf-Schwachstellen"
- [9] Carsten Eilers: "Schutzmaßnahmen: ASLR kann unterlaufen werden"
- [10] Matt Miller, Ken Johnson; Black Hat USA 2011: "Exploit Mitigation Improvements in Win 8"
- [11] Chengyun Chu, Power of Community! 2012: "Exploit Mitigation Improvements in Windows 8"
(Präsentation als PDF)
- [12] Forbes Higman: "Enhanced Memory Protections in IE10"
- [13] Mateusz ‘j00ru’ Jurczyk: "Subtle information disclosure in WIN32K.SYS syscall return values"
- [14] Dan Rosenberg: "Defeating Windows 8 ROP Mitigation"
- [15] Chris Valasek, Tarjei Mandt; Black Hat USA 2012: "Windows 8 Heap Internals"
- [16] Microsoft BlueHat Prize Contest
- [17] BlueHat Prize Entries
- [18] The BlueHat Prize Winners Announced
- [19] Kevin Snow, Lucas Davi; Black Hat USA 2013: "Just-In-Time Code Reuse: The more things change, the more they stay the same"
- [20] Georg Wicherski, Alexandru Radocea, Alex Ionescu; Black Hat USA 2013: "Hacking like in the Movies: Visualizing Page Tables for Local Exploitation"
- [21] Nikita Tarakanov; Hack in the Box Amsterdam 2013: "Exploiting Hardcore Pool Corruptions in Microsoft Windows Kernel"
(Material als ZIP)
- [22] Bruno Pujos, LSE Summer Week 2013: "A Look into the Windows Kernel"
- [23] Zhenhua 'Eric' Liu, Black Hat Europe 2013: "Advanced Heap Manipulation in Windows 8"
- [24] MJ0011, Power of Community! 2012: "Using a Patched Vulnerability to Bypass Windows 8 x64 Driver Signature Enforcement"
(Präsentation als PDF)
- [25] CVE-2010-4398
- [26] Didier Stevens; Hack in the Box Amsterdam 2013: "Windows x64: The Essentials"
(Präsentation als PDF)
- [27] Bill Sempf, Black Hat USA 2013: "Hardening your Windows 8 apps for the Windows Store"
- [28] Microsoft Mitigation Bypass Bounty and BlueHat Bonus for Defense Program
- [29] Congratulations to James Forshaw Recipient of Our First $100,000 Bounty for New Mitigation Bypass Techniques!
Kryptografie im NSA-Zeitalter
Teil 1: Wie sicher sind symmetrische Verfahren noch?
Im
Entwickler Magazin 1.2014
ist der erste Artikel einer kleinen Serie über die Sicherheit
kryptographischer Verfahren angesichts der NSA-Enthüllungen
erschienen. Seit der Veröffentlichung der von Edward Snowden
geleakten NSA-Daten ist die Verunsicherung groß: Wo hat die NSA
überall die Finger im Spiel? Was ist noch sicher? Welchen
Protokollen kann man noch vertrauen? Ich werde versuchen, diese Fragen in
einer kleinen Artikelserie zu beantworten. Los geht es mit symmetrischer
Verschlüsselung, bei der zum Ver- und Entschlüsseln der gleiche
Schlüssel verwendet wird.
Links
- [1] FIPS PUB 46-2, Data Encryption Standard (DES)
- [2] FIPS PUB 46-3, Data Encryption Standard (DES)
(PDF)
- [3] Eli Biham, Adi Shamir: "Differential Cryptanalysis of DES-like Cryptosystems"
(PS.GZ)
- [4] Bruce Schneier: "Applied Cryptography" (englisch, John Wiley & Sons 1996) / "Angewandte Kryptographie" (deutsch, Addison Wesley 1996)
(Website)
- [5] Tom R. Johnson: " American Cryptology during the Cold War, 1945–1989: Book III: Retrenchment and Reform", NSA, DOCID 3417193 (Seite 232 = Seite 114 im PDF)
(PDF)
- [6] Tom R. Johnson: " American Cryptology during the Cold War, 1945–1989: Book III: Retrenchment and Reform",
FOIA-Veröffentlichung auf cryptome.org
mit weniger Schwärzungen
- [7] Don Coppersmith: "The Data Encryption Standard (DES) and its strength against attacks"
(PDF)
- [8] FAQ
zum "DES Cracker" der Electronic Frontier Foundation
- [9] Electronic Frontier Foundation: "Cracking DES: Secrets of Encryption Research, Wiretap Politics, and Chip Design"
- [10] COPACOBANA - Special-Purpose Hardware for Code-Breaking
- [11] SciEngines: "Break DES in less than a single day"
- [12] Department of Commerce, National Institute of Standards and Technology: "Announcing development of a federal information processing standard for advanced encryption standard"
- [13] Department of Commerce, National Institute of Standards and Technology: "Announcing request for candidate algorithm nominations for the advanced encryption standard (AES)"
- [14] NIST: AES Round 2 Information
- [15] NIST Announces Encryption Standard Finalists
(PDF)
- [16] Presseerklärung
"Commerce Department Announces Winner of Global Information Security Competition"
auf archive.org
- [17] Federal Information Processing Standards Publication 197: Specification for the ADVANCED ENCRYPTION STANDARD (AES)
(PDF)
- [18] Bruce Schneier, Schneier on Security: "The NSA's Cryptographic Capabilities", 6. September 2013
- [19] James Ball, Julian Borger, Glenn Greenwald; The Guardian: "Revealed: how US and UK spy agencies defeat internet privacy and security"
- [20] Nicole Perlroth, Jeff Larson, Scott Shane; The New York Times: "N.S.A. Able to Foil Basic Safeguards of Privacy on Web"
- [21] Jeff Larson, Nicole Perlroth, Scott Shane; ProPublica: "Revealed: The NSA’s Secret Campaign to Crack, Undermine Internet Security"
- [22] Glenn Greenwald, The Guardian: "Edward Snowden: NSA whistleblower answers reader questions",
Antwort auf die Frage "Is encrypting my email any good at defeating the NSA survelielance? Id my data protected by standard encryption?"
- [23] Bruce Schneier, Schneier on Security: "The NSA Is Breaking Most Encryption on the Internet",
5. September 2013, Antwort auf die Frage "Ok, on to the big question. Is AES safe?" vom 6. September 2013
Angriffe über Logikfehler
Logikfehler sind mitunter nur schwer zu entdecken, besser ist, sie gleich zu vermeiden
Im
PHP Magazin 1.2014
ist ein Artikel über Logikfehler in Webanwendungen erschienen.
Vorgestellt werden einige typische Logikfehler sowie Möglichkeiten, deren
Entstehung zu verhindern.
Links