Einschränkung der Auswahl
Alle Artikel aus
2019
2018
2017
2016
2015
2014
2013
2012
2011
2010
2008/2009
oder nur Artikel des
• Entwickler Magazin aus
2019
2018
2017
2016
2015
2014
2013
2012
2011
2008-2010
alle (lang!)
• Mobile Technology aus
2019
2016
2015
2014
2012/2013
alle (lang!)
• PHP Magazin / PHP User aus
2019
2018
2017
2016
2015
2014
2013
2012
2011
2009/2010
alle (lang!)
• windows.developer / dot.Net Magazin aus
2019
2018
2017
2016
2015
2014
2013
2012
2008-2011
alle (lang!)
• oder der anderen Magazine
Zu Lande, zu Wasser und in der Luft
Angriffe auf Embedded Systems in Autos, Flugzeugen und Schiffen
Im
Entwickler Magazin 6.14
ist ein Artikel über Angriffe auf Embedded Systems in Autos,
Flugzeugen und Schiffen erschienen. Denn Computer lassen sich nicht nur
angreifen, wenn sie auf dem Schreibtisch oder im Rechenzentrum stehen,
sondern auch wenn sie in Autos, Flugzeugen oder Schiffen eingebaut sind.
Links
- [1] Margi Murphy; Computerworld UK: "Home Office to work with car manufacturers to defend against hackers"
- [2] Chris Greenwood; Daily Mail: "Hackers are blamed for a third of car thefts: One in three vehicles stolen by high-tech criminals who do not need owner's keys"
- [3] ConsumerReports.org: "Hacking car security 12/05: Keyless entry system, car security system" (via Archive.org)
- [4] Steve Bono, Matthew Green, Adam Stubblefield, Avi Rubin, Ari Juels, Michael Szydlo: "Analysis of the Texas Instruments DST RFID" (via archive.org)
- [5] Lestlane News: "Gone in 20 Minutes: using laptops to steal cars" (via archive.org)
- [6] Slashdot: "Using Laptops to Steal Cars"
- [7] Bruce Schneier; Schneier on Security: "Stealing Cars with Laptops"
- [8] Josh Robertson; The Courier-Mail: "$30 device available online blamed for spike in car thefts in Queensland"
- [9] Nitesh Dhanjani: "Cursory Evaluation of the Tesla Model S: We Can't Protect Our Cars Like We Protect Our Workstations"
- [10] Graham Cluley: "How a hacked password can unlock a Tesla car"
- [11] Rob Waugh; ESET We Live Security: "Tesla shocker as researcher picks electric supercar’s lock"
- [12] Karl Koscher, Alexei Czeskis, Franziska Roesner, Shwetak Patel, Tadayoshi Kohno, Stephen Checkoway, Damon McCoy, Brian Kantor, Danny Anderson, Hovav Shacham, Stefan Savage; IEEE Symposium on Security and Privacy 2010: "Experimental Security Analysis of a Modern Automobile" (PDF)
- [13] Alberto Garcia Illera, Javier Vazquez Vidal; Black Hat Asia 2014: "Dude, WTF in My CAN!"
- [14] Charlie Miller, Chris Valasek; DefCon 21 (2013): "Adventures in Automotive Networks and Control Units"
- [15] Chris Valasek, Charlie Miller; IOActive Labs Research Blog: "Car Hacking: The Content"
- [16] Andy Greenberg; Forbes: "Hackers Reveal Nasty New Car Attacks--With Me Behind The Wheel (Video)"
- [17] Charlie Miller, Chris Valasek; SyScan Singapore 2014: "Car Hacking for Poories" (ZIP)
- [18] Stephen Checkoway, Damon McCoy, Brian Kantor, Danny Anderson, Hovav Shacham, Stefan Savage, Karl Koscher, Alexei Czeskis, Franziska Roesner, Tadayoshi Kohno; USENIX Security 2011: "Comprehensive Experimental Analyses of Automotive Attack Surfaces" (PDF)
- [19] Ishtiaq Rouf, Rob Miller, Hossen Mustafa, Travis Taylor, Sangho Oh, Wenyuan Xu, Marco Gruteser, Wade Trappe, Ivan Seskar: "Security and Privacy Vulnerabilities of In-Car Wireless Networks: A Tire Pressure Monitoring System Case Study" (PDF)
- [20] Bruce Schneier; Schneier on Security: "Hacking Cars Through Wireless Tire-Pressure Sensors"
- [21] Charlie Miller, Christopher Valasek; Black Hat USA 2014: "A Survey of Remote Automotive Attack Surfaces"
- [22] Brian Donohue; Kaspersky Lab Blog: "Mobiles Auto-Hacking auf der Black Hat"
- [23] Michael Mimoso; ThreatPost: "Car Hacking Enters Remote Exploitation Phase"
- [24] Chris Valasek; IOActive Labs Research Blog: "Remote survey paper (car hacking)"
- [25] Andy Greenberg; Wired: "Hackers Could Take Control of Your Car. This Device Can Stop Them"
- [26] Wayne Yan, Kai Peng; SyScan360: "Hack Your Car and I’ll Drive You Crazy: the Design of Hack-proof CAN-based Automotive System" (PDF)
- [27] Lisa Vaas; Sophos Naked Security: "$80 million yacht hijacked by students spoofing GPS signals"
- [28] Cockrell School of Engineering: "UT Austin Researchers Spoof Superyacht at Sea"
- [29] Marco Balduzzi, Kyle Wihoit, Alessandro Pasta; Hack in the Box Malaysia 2013: "Hey Captain, Where’s Your Ship? Attacking Vessel Tracking Systems for Fun and Profit"
- [30] Marco Balduzzi, Kyle Wihoit, Alessandro Pasta: "Hey Captain, Where’s Your Ship? Attacking Vessel Tracking Systems for Fun and Profit" (PDF)
- [31] Marco Balduzzi; Black Hat Asia 2014: "AIS Exposed Understanding Vulnerabilities & Attacks 2.0"
- [32] Marco Balduzzi, Alessandro Pasta; Hack in the Box Amsterdam 2014: "AIS Exposed: New Vulnerabilities and Attacks"
- [33] Hugo Teso; Hack in the Box Amsterdam 2013: "Aircraft Hacking: Practical Aero Series"
- [34] Zeljka Zorz, Berislav Kucan; Help Net Security: "Hijacking airplanes with an Android phone"
- [35] Andy Greenberg; Forbes: "Researcher Says He's Found Hackable Flaws In Airplanes' Navigation Systems (Update: The FAA Disagrees)"
- [36] Zeljka Zorz; Help Net Security: "FAA and EASA say hijacking planes using an app is not possible"
- [37] Hugo Teso; Hack in the Box Malaysia 2013: "Digging Deeper into Aviation Security"
- [38] Hugo Teso; n.runs Blog: "Aviation Security - FMS Exploitation Over ACARS"
- [39] Brad "RenderMan" Haines; DefCon 20 (2012): "Hacker + Airplanes = No Good Can Come Of This"
- [40] Lisa Vaas: Sophos Naked Security: "Drone hijacked by hackers from Texas college with $1,000 spoofer"
- [41] Ruben Santamarta; Black Hat USA 2014: "SATCOM Terminals: Hacking by Air, Sea, and Land"
- [42] Ruben Santamarta; IOActive Labs Blog: "A Wake-up Call for SATCOM Security"
- [43] Jim Finkle; Reuters: "Hacker says to show passenger jets at risk of cyber attack"
- [44] Dr. Phil Polstra, Captain Polly Kadolph; DefCon 22 (2014): "Cyberhijacking Airplanes: Truth or Fiction?"
- [45] DefCon 22 Presentation Phil Polstra
- [46] Dr. Phil Polstra: "Cyberhijacking Airplanes: Truth or fiction"
Angriffsziel Industriesteuerungen
Von Sicherheitslücken, Würmern und Co.
Im
Entwickler Magazin 5.14
ist ein Artikel über Angriffe auf Industriesteuerungen erschienen.
Industriesteuerungen mit Internetanschluss sind eine schlechte Idee Aber
auch ohne Internetanschluss sind sich nicht unbedingt sicher, wie Stuxnet
eindrucksvoll bewiesen hat. Wie sieht es also mit der Sicherheit von
Industriesteuerungen aus?
Links
- [1] Sean Sullivan, F-Secure: "Espionage Attack Uses LNK Shortcut Files"
- [2] Chester Wisniewski, Sophos: "Windows zero-day vulnerability uses shortcut files on USB"
- [3] VirusBlokAda: "Rootkit.TmpHider" (auf Archive.org)
- [4] Microsoft Security Advisory "(2286198): Vulnerability in Windows Shell Could Allow Remote Code Execution"
- [5] Tareq Saade, Microsoft Malware Protection Center: "The Stuxnet Sting"
- [6] Alexander Gostev, Kaspersky: "Myrtus and Guava, Episode 2"
- [7] Chester Wisniewski, Sophos: "Certified uncertainty"
- [8] Sophos: "W32/Stuxnet-B"
- [9] Sean Sullivan, F-Secure: "More Analysis of Case LNK Exploit"
- [10] Graham Cluley, Sophos: "Yes, there's malware. But don't change your SCADA password, advises Siemens"
- [11] Siemens: "SIMATIC WinCC / SIMATIC PCS 7: Information about Malware / Viruses / Trojan horses"
- [12] Christopher Budd, Microsoft Security Response Center: "Out of Band Release to address Microsoft Security Advisory 2286198"
- [13] Holly Stewart, Microsoft Malware Protection Center: "Stuxnet, malicious .LNKs, ...and then there was Sality"
- [14] Microsoft Security Bulletin "MS10-046 - Critical: Vulnerability in Windows Shell Could Allow Remote Code Execution (2286198)"
- [15] Alexander Gostev, Kaspersky: "Myrtus and Guava, Episode MS10-061"
- [16] Liam O Murchu, Symantec: "Stuxnet Using Three Additional Zero-Day Vulnerabilities"
- [17] Nicolas Falliere, Symantec: "Stuxnet Introduces the First Known Rootkit for Industrial Control Systems"
- [18] Nicolas Falliere, Symantec: "Exploring Stuxnet’s PLC Infection Process"
- [19] Eric Chien, Symantec: "Stuxnet: A Breakthrough"
- [20] Frank Rieger, Knowledge Brings Fear: "stuxnet: targeting the iranian enrichment centrifuges in Natanz?"
- [21] William J. Broad, John Markoff, David E. Sanger; New York Times: "Israeli Test on Worm Called Crucial in Iran Nuclear Delay"
- [22] Marty Edwards, Todd Stauffer: "Control System Security Assessments"; 2008 Automation Summit (PDF)
- [23] Kim Zetter, Wired: "How Digital Detectives Deciphered Stuxnet, the Most Menacing Malware in History"
- [24] Paul Roberts, ThreatPost: "Report: Iran Resorts to Rip And Replace To Kill Off Stuxnet"
- [25] David Albright, Paul Brannan, Christina Walrond; Institute for Science and International Security: "Did Stuxnet Take Out 1,000 Centrifuges at the Natanz Enrichment Plant?"
(auch als PDF)
- [26] David Albright, Paul Brannan, Christina Walrond; Institute for Science and International Security: "Stuxnet Malware and Natanz: Update of ISIS December 22, 2010 Report"
(auch als PDF)
- [27] Symantec Security Response, Symantec: "Updated W32.Stuxnet Dossier is Available"
- [28] Richard Sale, ISSSource: "Stuxnet Loaded by Iran Double Agents"
- [29] David E. Sanger , New York Times: "Obama Order Sped Up Wave of Cyberattacks Against Iran"
- [30] Graham Cluley, Sophos: "Stuxnet: How USA and Israel created anti-Iran virus, and then lost control of it"
- [31] Geoff McDonald, Liam O Murchu, Stephen Doherty, Eric Chien; Symantec: "Stuxnet 0.5: The Missing Link" (PDF)
- [32] Ralph Langner, The Langner Group: "To Kill a Centrifuge - A Technical Analysis of What Stuxnet's Creators Tried to Achieve" (PDF)
- [33] Brian Krebs, Krebs on Security: "Cyber Intrusion Blamed for Hardware Failure at Water Utility"
- [34] Brian Donohue, ThreatPost: "Water Utility Damaged by Cyberattack"
- [35] Ellen Nakashima, The Washington Post: "Foreign hackers targeted U.S. water plant in apparent malicious cyber attack, expert says"
- [36] Kim Zettler, Wired: "Exclusive: Comedy of Errors Led to False ‘Water-Pump Hack’ Report"
- [37] pr0f auf Pastebin: loldhs pr0f
- [38] Chester Wisniewski, Sophos: "Interview with SCADA hacker pr0f about the state of infrastructure security"
- [39] Paul Roberts, ThreatPost: "Hacker Says Texas Town Used Three Character Password To Secure Internet Facing SCADA System"
- [40] Jan-Ole Malchow, Johannes Klick; 21. DFN-Workshop "Sicherheit in vernetzten Systemen": "Erreichbarkeit von digitalen Steuergeräten - ein Lagebild" (PDF)
- [41] Carsten Eilers: "Internet of (In)Security?", Entwickler Magazin 4.2014
- [42] Michael Mimoso, ThreatPost: "Shodan Search Engine Project Enumerates Internet-Facing Critical Infrastructure Devices"
- [43] Michael Mimoso, ThreatPost: "Hackers Aggressively Scanning ICS, SCADA Default Credentials, Vulnerabilities"
- [44] ICS-CERT Advisories
- [45] ICS-CERT Alerts
- [46] Carsten Eilers, JAXenter.de: "Die Heartbleed-Katastrophe: Wie funktioniert der Angriff und was kann passieren?"
- [47] ICS-ALERT-14-099-01: "Situational Awareness Alert for OpenSSL Vulnerability"
- [48] Wikipedia: "Unidirectional network"
- [49] genua: Datendiode zur sicheren Vernetzung von Maschinenanlagen und KRITIS
- [50] Daavid Hentunen, F-Secure: "Havex Hunts for ICS/SCADA Systems"
- [51] ICS-CERT - Other Reports
- [52] Steffen Wendzel, Sebastian Szlosarczyk; "Hack in the Box" Amsterdam 2014: "Alice’s Adventures in Smart Building Land – Novel Adventures in a Cyber Physical Environment"
- [53] Billy Rios, "Black Hat" Asia 2014: "Owning a Building: Exploiting Access Control and Facility Management Systems"
- [54] Lucas Apa, Carlos Mario Penagos; "Black Hat" USA 2013: "Compromising Industrial Facilities From 40 Miles Away"
- [55] Eric Forner, Brian Meixell; "Black Hat" USA 2013: "Out of Control: Demonstrating SCADA device exploitation"
- [56] Kyle Wilhoit, "Black Hat" USA 2013: "The SCADA That Didn't Cry Wolf- Who's Really Attacking Your ICS Devices- Part Deux!"
- [57] Dan Tentler, "Hack in the Box" Amsterdam 2013: "System Shock: The Shodan Computer Search Engine"
(Präsentation als PDF)
- [58] Kyle Wilhoit, "Black Hat" Europe 2013: "Who's Really Attacking Your ICS Devices?"
- [59] Carsten Eilers: "SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2010"
Ergänzend gibt es in meinem Blog
ab hier
einen Serie von Artikeln mit einem Überblick über die
Vorträge zu SCADA-Systemen und Industriesteuerungen auf den
Sicherheitskonferenzen ab 2010.
Internet of (In)Security?
Risiken und Gefahrenpotenziale in der Heimautomation
Auch im
Entwickler Magazin Spezial "Internet of Things"
ist der Artikel über die Risiken und Gefahrenpotenziale in der
Heimautomation enthalten. Es gab bereits mehr oder weniger kritische
Schwachstellen in der wohl mitunter etwas blauäugig implementierten
Firmware der Dinge, die da mit dem Internet verbunden werden und dadurch
natürlich auch möglichen Angriffen ausgesetzt sind.
Links
- [1] Louis-F. Stahl, BHKW-Infothek: "Kritische Sicherheitslücke ermöglicht Fremdzugriff auf Systemregler des Vaillant ecoPOWER 1.0"
- [2] Susanne Schneidereit, Louis-F. Stahl; BHKW-Infothek: "Gefahr im Kraftwerk: Auch große BHKW sind betroffen!"
- [3] Gunnar Micheel, Susanne Schneidereit; BHKW-Infothek: "Parlamentarische Anfrage zur Sicherheit von BHKW-Steuerungen und Neues zum Sicherheitsupdate für das ecoPOWER 1.0"
- [4] Susanne Schneidereit, BHKW-Infothek: "Neue ecoPOWER 1.0 Firmware beseitigt Sicherheitslücken"
- [5] Vaillant Deutschland: "Neue VPN-Kommunikationseinheit für Ihren ecoPOWER 1.0" (PDF)
- [6] Ronald Eikenberg, Heise Online: "Kritische Schwachstelle in hunderten Industrieanlagen"
- [7] Louis-F. Stahl, Ronald Eikenberg; Heise Online: "Kritisches Sicherheitsupdate für 200.000 Industriesteuerungen"
- [8] Nitesh Dhanjani, Black Hat Asia 2014: "Abusing the Internet of Things: Blackouts, Freakouts, and Stakeouts"
- [9] Nitesh Dhanjani: "Hacking Lightbulbs"
- [10] "Hacking Lightbulbs" Video auf YouTube
- [11] IOActive: "IOActive Lights Up Vulnerabilities for Over Half a Million Belkin WeMo Users"
- [12] IOActive: "IOActive Security Advisory: Belkin WeMo Home Automation Vulnerabilities" (PDF)
- [13] Jared Allar, US-CERT: Vulnerability Note VU#656302 - Belkin Wemo Home Automation devices contain multiple vulnerabilities
- [14] Belkin, Inc. Information for VU#656302 - Belkin Wemo Home Automation devices contain multiple vulnerabilities
- [15] Behrang Fouladi, Sahand Ghanoun; Black Hat USA 2013: "Honey, I’m Home!! - Hacking Z-Wave Home Automation Systems"
- [16] "Black Hat USA 2013 - Honey, I'm home!! - Hacking Z-Wave Home Automation Systems" Video auf YouTube
- [17] Sensepost Research Labs: "Hacking Z-Wave Home Automation Systems"
- [18] Drew Porter, Stephen Smith; Black Hat USA 2013: "Let's get Physical: Breaking Home Security Systems and Bypassing Buildings Controls"
(Präsentation dazu)
- [19] "Black Hat USA 2013 - Let's get physical: Breaking home security systems & bypassing controls" Video auf YouTube
- [20] Daniel Crowley, David Bryan, Jennifer Savage; Black Hat USA 2013: "Home Invasion 2.0 - Attacking Network-Connected Hardware"
- [21] Trustwave SpiderLabs Security Advisory TWSL2013-020: Hard-Coded Bluetooth PIN Vulnerability in LIXIL Satis Toilet
- [22] Markus Selinger, AV-Test: "Test: Smart-Home-Kits öffnen Tür und Tor – für jeden"
- [23] Carsten Eilers: "Kommentare zu spammenden Kühlschränken, neugierigen Geschäften und mehr"
- [24] Carsten Eilers: "Ransomware: Geld her, oder die Daten sind weg"
Internet of (In)Security?
Risiken und Gefahrenpotenziale in der Heimautomation
Im
Entwickler Magazin 4.14
ist ein Artikel über die Risiken und Gefahrenpotenziale in der
Heimautomation erschienen. Es gab bereits mehr oder weniger kritische
Schwachstellen in der wohl mitunter etwas blauäugig implementierten
Firmware der Dinge, die da mit dem Internet verbunden werden und dadurch
natürlich auch möglichen Angriffen ausgesetzt sind.
Links
- [1] Louis-F. Stahl, BHKW-Infothek: "Kritische Sicherheitslücke ermöglicht Fremdzugriff auf Systemregler des Vaillant ecoPOWER 1.0"
- [2] Susanne Schneidereit, Louis-F. Stahl; BHKW-Infothek: "Gefahr im Kraftwerk: Auch große BHKW sind betroffen!"
- [3] Gunnar Micheel, Susanne Schneidereit; BHKW-Infothek: "Parlamentarische Anfrage zur Sicherheit von BHKW-Steuerungen und Neues zum Sicherheitsupdate für das ecoPOWER 1.0"
- [4] Susanne Schneidereit, BHKW-Infothek: "Neue ecoPOWER 1.0 Firmware beseitigt Sicherheitslücken"
- [5] Vaillant Deutschland: "Neue VPN-Kommunikationseinheit für Ihren ecoPOWER 1.0" (PDF)
- [6] Ronald Eikenberg, Heise Online: "Kritische Schwachstelle in hunderten Industrieanlagen"
- [7] Louis-F. Stahl, Ronald Eikenberg; Heise Online: "Kritisches Sicherheitsupdate für 200.000 Industriesteuerungen"
- [8] Nitesh Dhanjani, Black Hat Asia 2014: "Abusing the Internet of Things: Blackouts, Freakouts, and Stakeouts"
- [9] Nitesh Dhanjani: "Hacking Lightbulbs"
- [10] "Hacking Lightbulbs" Video auf YouTube
- [11] IOActive: "IOActive Lights Up Vulnerabilities for Over Half a Million Belkin WeMo Users"
- [12] IOActive: "IOActive Security Advisory: Belkin WeMo Home Automation Vulnerabilities" (PDF)
- [13] Jared Allar, US-CERT: Vulnerability Note VU#656302 - Belkin Wemo Home Automation devices contain multiple vulnerabilities
- [14] Belkin, Inc. Information for VU#656302 - Belkin Wemo Home Automation devices contain multiple vulnerabilities
- [15] Behrang Fouladi, Sahand Ghanoun; Black Hat USA 2013: "Honey, I’m Home!! - Hacking Z-Wave Home Automation Systems"
- [16] "Black Hat USA 2013 - Honey, I'm home!! - Hacking Z-Wave Home Automation Systems" Video auf YouTube
- [17] Sensepost Research Labs: "Hacking Z-Wave Home Automation Systems"
- [18] Drew Porter, Stephen Smith; Black Hat USA 2013: "Let's get Physical: Breaking Home Security Systems and Bypassing Buildings Controls"
(Präsentation dazu)
- [19] "Black Hat USA 2013 - Let's get physical: Breaking home security systems & bypassing controls" Video auf YouTube
- [20] Daniel Crowley, David Bryan, Jennifer Savage; Black Hat USA 2013: "Home Invasion 2.0 - Attacking Network-Connected Hardware"
- [21] Trustwave SpiderLabs Security Advisory TWSL2013-020: Hard-Coded Bluetooth PIN Vulnerability in LIXIL Satis Toilet
- [22] Markus Selinger, AV-Test: "Test: Smart-Home-Kits öffnen Tür und Tor – für jeden"
- [23] Carsten Eilers: "Kommentare zu spammenden Kühlschränken, neugierigen Geschäften und mehr"
- [24] Carsten Eilers: "Ransomware: Geld her, oder die Daten sind weg"
Kryptostandards im NSA-Zeitalter
Teil 3: Die NSA und ihr Einfluss auf Standards
Im
Entwickler Magazin 3.2014
ist der dritte (und letzte) Artikel einer kleinen Serie über die
Sicherheit kryptographischer Verfahren angesichts der NSA-Enthüllungen
erschienen. Die NSA hat die Entwicklung verschiedener Standards
beeinflusst. Ein Pseudo-Zufallszahlengenerator enthält eine
Hintertür, IPsec ist so kompliziert, das es kaum sicher implementier-
und nutzbar ist, und das ist wahrscheinlich nur die Spitze eines Eisbergs
an Manipulationen.
Links
- [1] Carsten Eilers: "Kryptografie im NSA-Zeitalter - Teil 1: Wie sicher sind symmetrische Verfahren noch?", Entwickler Magazin 1.14
- [2] Carsten Eilers: "Kryptografie im NSA-Zeitalter - Teil 2: Wie sicher sind asymmetrische und hybride Verfahren noch?", Entwickler Magazin 2.14
- [3] Daniel J. Bernstein: "Curve25519: A state-of-the-art Diffie-Hellman function"
- [4] OpenSSH: Changes since OpenSSH 6.4
- [5] Ed25519: high-speed high-security signatures
- [6] NIST Special Publication (SP) 800-90A: Recommendation for Random Number Generation Using Deterministic Random Bit Generators
(PDF, Version vom Januar 2012)
- [7] Berry Schoenmakers, Andrey Sidorenko: "Cryptanalysis of the Dual Elliptic Curve Pseudorandom Generator"
- [8] Daniel R. L. Brown, Kristian Gjøsteen: "A Security Analysis of the NIST SP 800-90 Elliptic Curve Random Number Generator"
- [9] Dan Shumow, Niels Ferguson: "On the Possibility of a Back Door in the NIST SP800-90 Dual Ec Prng"
(PDF)
- [10] Matthew Green: "The Many Flaws of Dual_EC_DRBG"
- [11] FIPS 140-2 - Security Requirements for Cryptographic Modules
(PDF)
- [12] Steve Marquess, Mailingliste openssl-announce: "Flaw in Dual EC DRBG (no, not that one)"
- [13] RSA BSAFE
- [14] Joseph Menn, Reuters: "Exclusive: Secret contract tied NSA and security industry pioneer"
- [15] RSA Security: RSA Response to Media Claims Regarding NSA Relationship
- [16] Nicole Perlroth, Jeff Larson, Scott Shane; New York Times: "N.S.A. Able to Foil Basic Safeguards of Privacy on Web"
- [17] James Ball, Julian Borger, Glenn Greenwald; The Guardian: "Revealed: how US and UK spy agencies defeat internet privacy and security"
- [18] Jeff Larson, Nicole Perlroth, Scott Shane; ProPublica: "Revealed: The NSA’s Secret Campaign to Crack, Undermine Internet Security"
- [19] Nicole Perlroth, New York Times: "Government Announces Steps to Restore Confidence on Encryption Standards"
- [20] NIST: Supplemental ITL Bulletin for September 2013
(PDF)
- [21] Kim Zetter, Wired: "RSA Tells Its Developer Customers: Stop Using NSA-Linked Algorithm"
- [22] Matthew Green: "RSA warns developers not to use RSA products"
- [23] NIST, Office of the Director: "Cryptographic Standards Statement"
- [24] NIST: SP 800-90 Arev1-B-C - DRAFT Draft SP 800-90 Series: Random Bit Generators
- [25] NIST initiating Review of Cryptographic Standards Development Process
- [26] RFC 4301 - Security Architecture for the Internet Protocol
- [27] Niels Ferguson, Bruce Schneier: "A Cryptographic Evaluation of IPsec"
- [28] John Gilmore: "Re: [Cryptography] Opening Discussion: Speculation on "BULLRUN""
- [29] Counterpane Labs: CMEA Cryptanalysis
- [30] Microsoft Security Advisory (2880823) - Deprecation of SHA-1 Hashing Algorithm for Microsoft Root Certificate Program
- [31] Amerk, Windows PKI blog: "SHA1 Deprecation Policy"
- [32] William Peteroy, Security Research & Defense Blog: "Security Advisory 2880823: Recommendation to discontinue use of SHA-1"
- [33] Microsoft Security Advisory (2862973) - Update for Deprecation of MD5 Hashing Algorithm for Microsoft Root Certificate Program
- [34] NIST Computer Security Division - The SHA-3 Cryptographic Hash Algorithm Competition, November 2007 - October 2012
- [35] The Keccak sponge function family
- [36] NIST Computer Security Division - SHA-3 WINNER
- [37] John Kelsey: "SHA3 - Past, Present, and Future"
(PDF)
- [38] Keccak-Entwickler: "Yes, this is Keccak!"
- [39] Bruce Schneier: "Will Keccak = SHA-3?"
- [40] John M. Kelsey: "Moving forward with SHA3"
(PDF)
- [41] European Union Agency for Network and Information Security (ENISA): "Algorithms, Key Sizes and Parameters Report"
- [42] Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen: "Bekanntmachung zur elektronischen Signatur nach dem Signaturgesetz und der Signaturverordnung (Übersicht über geeignete Algorithmen)"
- [43] NIST Special Publication (SP) 800-57: Recommendation for Key Management – Part 1: General (Revision 3)
(PDF)
- [44] BetterCrypto*org
- [45] BetterCrypto*org: "Applied Crypto Hardening"
(PDF)
Kryptografie im NSA-Zeitalter
Teil 2: Wie sicher sind asymmetrische und hybride Verfahren noch?
Im
Entwickler Magazin 2.2014
ist der zweite Artikel einer kleinen Serie über die Sicherheit
kryptographischer Verfahren angesichts der NSA-Enthüllungen
erschienen. Seit der Veröffentlichung der von Edward Snowden
geleakten NSA-Daten ist die Verunsicherung groß: Wo hat die NSA
überall die Finger im Spiel? Was ist noch sicher? Welchen
Protokollen kann man noch vertrauen? Ich werde versuchen, diese Fragen in
einer kleinen Artikelserie zu beantworten. In dieser Folge geht es um
asymmetrischer Verschlüsselung, bei der zum Ver- und Entschlüsseln
verschiedene Schlüssel verwendet werden, und die aus symmetrischen
und asymmetrischen Systemen kombinierten hybriden Systeme.
Links
- [1] Carsten Eilers: "Kryptografie im NSA-Zeitalter - Teil 1: Wie sicher sind symmetrische Verfahren noch?", Entwickler Magazin 1.14
- [2] Ronald L. Rivest, Adi Shamir, Leonard Adleman: "A Method for Obtaining Digital Signatures and Public-Key Cryptosystems"
(PDF)
- [3] Wikipedia: Erweiterter euklidischer Algorithmus
- [4] Wikipedia: Eulersche Phi-Funktion
- [5] Newsgroup sci.crypt: "RSA factoring challenge", 18.3.1991
- [6] RSA Laboratories: "The RSA Factoring Challenge"
- [7] RSA Laboratories: "The New RSA Factoring Challenge" (14.7.2001, via archive.org)
- [8] RSA Laboratories: "The RSA Challenge Numbers" (5.8.2001, via archive.org)
- [9] RSA Honor Roll (As of March 5, 1999)
- [10] RSA Laboratories: "RSA-140 IS FACTORED!"
- [11] Kazumaro Aoki, Yuji Kida, Takeshi Shimoyama, Hiroki Ueda: "GNFS Factoring Statistics of RSA-100, 110, ..., 150"
- [12] RSA Laboratories: "RSA-155 IS FACTORED!"
- [13] RSA Laboratories: "RSA-160 IS FACTORED!"
- [14] Jens Franke: "We have factored RSA160 by gnfs."
- [15] Dominik Bonenberger, Martin Krone: "Factorization of RSA-170"
(PDF)
- [16] RSA Laboratories: "RSA-576 IS FACTORED!"
- [17] S.A. Danilov, I.A. Popovyan: "Factorization of RSA-180"
- [18] I. Popovyan, A. Timofeev; mersenneforum.org: "RSA-190 factored"
- [19] RSA Laboratories: "RSA-640 IS FACTORED!"
- [20] Jens Franke: "We have factored RSA640 by GNFS."
- [21] RSA Laboratories: "RSA-200 IS FACTORED!"
- [22] Thorsten Kleinjung: "We have factored RSA200 by GNFS."
- [23] mersenneforum.org: "RSA-210 factored"
- [24] Shi Bai, Emmanuel Thomé, Paul Zimmermann: "Factorisation of RSA-704 with CADO-NFS"
(PDF)
- [25] RSA Laboratories: "RSA-768 IS FACTORED!"
- [26] Thorsten Kleinjung, Kazumaro Aoki, Jens Franke, Arjen Lenstra, Emmanuel Thomé, Joppe Bos, Pierrick Gaudry, Alexander Kruppa, Peter Montgomery, Dag Arne Osvik, Herman te Riele, Andrey Timofeev, Paul Zimmermann:
"Factorization of a 768-bit RSA modulus"
- [27] RSA Laboratories: The RSA Challenge Numbers
- [28] RSA Laboratories: The RSA Factoring Challenge FAQ
- [29] Steven Rich, Barton Gellman; The Washington Post: "NSA seeks to build quantum computer that could crack most types of encryption"
- [30] Bruce Schneier: "I personally am concerned about any constant whose origins I don't personally trust."
(Kommentar
unter: Bruce Schneier: "The NSA Is Breaking Most Encryption on the Internet")
- [31] Bruce Schneier, theguardian.com: "NSA surveillance: A guide to staying secure"
- [32] Carsten Eilers: "Quo vadis, SSL? - Wie sicher sind HTTPS-Verbindungen noch?", Entwickler Magazin 4.2012
- [33] Joseph Menn, Reuters: "Exclusive: Secret contract tied NSA and security industry pioneer"
- [34] Speaking of Security - The RSA Blog and Podcast: "RSA Response to Media Claims Regarding NSA Relationship"
- [35] Jacob Appelbaum (@ioerror): "RC4 is broken in real time by the #NSA - stop using it."
- [36] Jacob Appelbaum (@ioerror): "I have confirmed it with several sources - including some with knowledge of #NSA #CES"
- [37] Steve Marquess; Mailingliste openssl-announce: "Flaw in Dual EC DRBG (no, not that one)"
Die OWASP Top 10
Die gefährlichsten Webanwendungsschwachstellen im Überblick
Im
Entwickler Magazin 2.2014
ist der erste Teil eines zweiteiligen Artikels über die OWASP Top 10,
die zehn gefährlichsten Schwachstellen in Webanwendungen, erschienen.
Die Reihenfolge der Schwachstellen ergibt sich aus vier Faktoren:
- Die Wahrscheinlichkeit dafür, dass eine Webanwendung die
Schwachstelle enthält ("Prevalence").
- Die Wahrscheinlichkeit dafür, dass ein Angreifer die
Schwachstelle entdeckt ("Detectability").
- Die Wahrscheinlichkeit dafür, dass ein Angreifer die
Schwachstelle erfolgreich ausnutzt ("Exploitability").
- Die typischen Folgen eines Angriffs ("Impact").
Los geht es mit den Plätzen 1 bis 5:
- A1 - Injection
- A2 - Broken Authentication and Session Management
- A3 - Cross-Site Scripting (XSS)
- A4 - Insecure Direct Object References
- A5 - Security Misconfiguration
Links
Kryptografie im NSA-Zeitalter
Teil 1: Wie sicher sind symmetrische Verfahren noch?
Im
Entwickler Magazin 1.2014
ist der erste Artikel einer kleinen Serie über die Sicherheit
kryptographischer Verfahren angesichts der NSA-Enthüllungen
erschienen. Seit der Veröffentlichung der von Edward Snowden
geleakten NSA-Daten ist die Verunsicherung groß: Wo hat die NSA
überall die Finger im Spiel? Was ist noch sicher? Welchen
Protokollen kann man noch vertrauen? Ich werde versuchen, diese Fragen in
einer kleinen Artikelserie zu beantworten. Los geht es mit symmetrischer
Verschlüsselung, bei der zum Ver- und Entschlüsseln der gleiche
Schlüssel verwendet wird.
Links
- [1] FIPS PUB 46-2, Data Encryption Standard (DES)
- [2] FIPS PUB 46-3, Data Encryption Standard (DES)
(PDF)
- [3] Eli Biham, Adi Shamir: "Differential Cryptanalysis of DES-like Cryptosystems"
(PS.GZ)
- [4] Bruce Schneier: "Applied Cryptography" (englisch, John Wiley & Sons 1996) / "Angewandte Kryptographie" (deutsch, Addison Wesley 1996)
(Website)
- [5] Tom R. Johnson: " American Cryptology during the Cold War, 1945–1989: Book III: Retrenchment and Reform", NSA, DOCID 3417193 (Seite 232 = Seite 114 im PDF)
(PDF)
- [6] Tom R. Johnson: " American Cryptology during the Cold War, 1945–1989: Book III: Retrenchment and Reform",
FOIA-Veröffentlichung auf cryptome.org
mit weniger Schwärzungen
- [7] Don Coppersmith: "The Data Encryption Standard (DES) and its strength against attacks"
(PDF)
- [8] FAQ
zum "DES Cracker" der Electronic Frontier Foundation
- [9] Electronic Frontier Foundation: "Cracking DES: Secrets of Encryption Research, Wiretap Politics, and Chip Design"
- [10] COPACOBANA - Special-Purpose Hardware for Code-Breaking
- [11] SciEngines: "Break DES in less than a single day"
- [12] Department of Commerce, National Institute of Standards and Technology: "Announcing development of a federal information processing standard for advanced encryption standard"
- [13] Department of Commerce, National Institute of Standards and Technology: "Announcing request for candidate algorithm nominations for the advanced encryption standard (AES)"
- [14] NIST: AES Round 2 Information
- [15] NIST Announces Encryption Standard Finalists
(PDF)
- [16] Presseerklärung
"Commerce Department Announces Winner of Global Information Security Competition"
auf archive.org
- [17] Federal Information Processing Standards Publication 197: Specification for the ADVANCED ENCRYPTION STANDARD (AES)
(PDF)
- [18] Bruce Schneier, Schneier on Security: "The NSA's Cryptographic Capabilities", 6. September 2013
- [19] James Ball, Julian Borger, Glenn Greenwald; The Guardian: "Revealed: how US and UK spy agencies defeat internet privacy and security"
- [20] Nicole Perlroth, Jeff Larson, Scott Shane; The New York Times: "N.S.A. Able to Foil Basic Safeguards of Privacy on Web"
- [21] Jeff Larson, Nicole Perlroth, Scott Shane; ProPublica: "Revealed: The NSA’s Secret Campaign to Crack, Undermine Internet Security"
- [22] Glenn Greenwald, The Guardian: "Edward Snowden: NSA whistleblower answers reader questions",
Antwort auf die Frage "Is encrypting my email any good at defeating the NSA survelielance? Id my data protected by standard encryption?"
- [23] Bruce Schneier, Schneier on Security: "The NSA Is Breaking Most Encryption on the Internet",
5. September 2013, Antwort auf die Frage "Ok, on to the big question. Is AES safe?" vom 6. September 2013