Einschränkung der Auswahl
Alle Artikel aus
2019
2018
2017
2016
2015
2014
2013
2012
2011
2010
2008/2009
oder nur Artikel des
• Entwickler Magazin aus
2019
2018
2017
2016
2015
2014
2013
2012
2011
2008-2010
alle (lang!)
• Mobile Technology aus
2019
2016
2015
2014
2012/2013
alle (lang!)
• PHP Magazin / PHP User aus
2019
2018
2017
2016
2015
2014
2013
2012
2011
2009/2010
alle (lang!)
• windows.developer / dot.Net Magazin aus
2019
2018
2017
2016
2015
2014
2013
2012
2008-2011
alle (lang!)
• oder der anderen Magazine
Krypto-Miner, überall Krypto-Miner!
Schürfen Sie Kryptowährung?
Im
Windows Developer 8.19
ist ein Artikel über Kryptp-Mining durch Schadsoftware erschienen.
Links
Die Linksammlung finden Sie auf dieser
Extraseite.
Soziales Problem mit technischer Lösung
Teil 2: Forschungsergebnisse und Gegenmaßnahmen zu Social Engineering
Im
Windows Developer 7.19
ist der zweite von zwei Artikeln über Social Engineering erschienen,
in dem die Gegenmaßnahmen sowie aktuelle Forschungsergebnisse vorgestellt
werden.
Links
Die Linksammlung finden Sie auf dieser
Extraseite.
Cyberkriminelle lieben Social Engineering
Teil 1: Alte und neue Angriffsmethoden werden immer besser
Im
Windows Developer 6.19
ist der erste von zwei Artikeln über Social Engineering erschienen,
in dem die typischen Angriffe vorgestellt werden.
Links
Die Linksammlung finden Sie auf dieser
Extraseite.
WASM – Ist das sicher oder kann das weg?
Neue Besen kehren gut, sagt man. Aber sind sie auch sicher?
Im
Windows Developer 5.19
ist ein Artikel über die Sicherheit von WebAssembly (WASM) erschienen.
Update 18.6.2019:
Den Artikel gibt es jetzt auch online
auf entwickler.de
zu lesen.
Ende des Updates
Links
Die Linksammlung finden Sie auf dieser
Extraseite.
Single Sign-on und die Sicherheit
Wird mit SSO alles besser oder alles schlimmer, oder was?
Im
Windows Developer 4.19
ist ein Artikel über die Sicherheit des Single Sign-on (SSO)
erschienen.
Eine
Leseprobe
des Artikels gibt es auf entwickler.de.
Update 7.6.2019:
Der Artikel ist jetzt auch online
auf entwickler.de
zu lesen.
Ende des Updates
Links
Die Linksammlung finden Sie auf dieser
Extraseite.
CPU-Schwachstellen im Überblick
Sind Spectre und Meltdown nur die Spitze des Eisbergs?
Im
Windows Developer 3.19
ist ein Artikel über CPU-Schwachstellen erschienen. Spectre und
Meltdown sind zwar die bekanntesten, aber leider nicht die einzigen.
Nachtrag 10.5.2019:
Der Artikel wurde auch
auf entwickler.de
veröffentlicht.
Ende des Nachtrags
Links
Die Linksammlung finden Sie auf dieser
Extraseite.
Wie sicher sind die Mobilfunknetze?
Sicherheitslücken in Smartphones und Netzen
Im
Windows Developer 3.19
ist ein Artikel über die Sicherheit der Mobilfunknetze erschienen.
Links
Die Linksammlung finden Sie auf dieser
Extraseite.
Kein Buch mit sieben Siegeln
Was Facebook alles über Sie weiß, und woher es das weiß
Im
Windows Developer 2.19
ist ein Artikel über die Datensammlung durch Facebook erschienen.
Eine
Leseprobe
des Artikels gibt es auf entwickler.de.
Links
Die Linksammlung finden Sie auf dieser
Extraseite.
Sicherheit und Seife
Wie sicher ist SOAP? Und wie kann man es absichern?
Im
Windows Developer 1.19
ist ein Artikel über die Sicherheit von SOAP erschienen.
Eine
Leseprobe
des Artikels gibt es auf entwickler.de.
Links
Die Linksammlung finden Sie auf dieser
Extraseite.
Was tun gegen die REST-Unsicherheit?
Sicherheit schaffen für die RESTArchitektur
Im
Windows Developer 12.18
ist ein Artikel über die Sicherheit der REST-Architektur erschienen.
Links
Die Linksammlung finden Sie auf dieser
Extraseite.
Neuer Standard für mehr Sicherheit
Das ändert sich in der neuen TLS-Version
Im
Windows Developer 11.18
ist ein Artikel über die neue TLS-Version 1.3 erschienen.
Links
Die Linksammlung finden Sie auf dieser
Extraseite.
Alles nur (ge)Cloud?
Die Cloud als potenzieller Schwachstellenmultiplikator
Im
Windows Developer 10.18
ist ein Artikel über die Sicherheit in der Cloud erschienen.
Eine Leseprobe gibt es auf
entwickler.de.
Links
Die Linksammlung finden Sie auf dieser
Extraseite.
Von Semantik und Tokens
Authentifizierung und Autorisierung, OAuth und OpenID Connect im Überblick
Im
Windows Developer 9.18
ist ein Übersichtsartikel über OAuth und OpenID Connect erschienen:
Was ist das, und was kann das?
Links
Die Linksammlung finden Sie auf dieser
Extraseite.
Was ist das, was kann das, was soll das?
Die Blockchain im Überblick
Im
Windows Developer 8.18
ist ein Artikel über die Blockchain erschienen: Was ist das, was kann
das, was soll das?
Update 11.1.2019:
Den Artikel gibt es jetzt online
auf entwickler.de!
Ende des Updates
Links
Die Linksammlung finden Sie auf dieser
Extraseite.
Admin-Tools und mehr im Visier
Angriffe auf und über Tools, die überall vorhanden sind
Im
Windows Developer 7.18
ist ein Artikel über Angriffe auf und über Admin-Tools und andere
Programme, die überall vorhanden sind, erschienen.
Update 29.11.2018:
Der Artikel ist jetzt auch online
auf entwickler.de
verfügbar.
Ende des Updates
Links
Die Linksammlung finden Sie auf dieser
Extraseite.
Angriffsziel Active Directory
Ein Dauerbrenner auf den Sicherheitskonferenzen: Angriffe auf Active Directory
Im
Windows Developer 6.18
ist ein Artikel über Angriffe auf Active Directory erschienen.
Links
Die Linksammlung finden Sie auf dieser
Extraseite.
Angriffsziel Firmware
Angriffe auf und Schwachstellen im Herzstück der Rechner
Im
Windows Developer 5.18
ist ein Artikel über Angriffe auf und Schwachstellen in der Firmware
erschienen.
Update 17.7.2018:
Der Artikel ist jetzt auch online
auf entwickler.de
zu lesen.
Ende des Updates
Links
Die Linksammlung finden Sie auf dieser
Extraseite.
Neue Gefahren für die CPU
Meltdown und Spectre eröffnen eine neue Klasse von Angriffen
Im
Windows Developer 4.18
ist ein Artikel über Meltdown und Spectre erschienen. Diese Angriffe
auf bzw. über die CPU eröffnen eine ganz neue Klasse von Angriffen.
Links
Die Linksammlung finden Sie auf dieser
Extraseite.
Sicherheitskonzepte in der WCF
Wie sicher ist Microsofts Kommunikationsplattform?
Im
Windows Developer 3.18
ist ein Artikel über die Sicherheitskonzepte in der WCF erschienen.
Links
Die Linksammlung finden Sie auf dieser
Extraseite.
.NET-Sicherheitsklassen im Überblick
Welche Funktionen gibt es, und wie kann man sie wofür nutzen?
Im
Windows Developer 2.18
ist ein Überblick über die .NET-Sicherheitsklassen erschienen:
Welche Funktionen gibt es, und wie kann man sie wofür nutzen?
Links
Die Linksammlung finden Sie auf dieser
Extraseite.
Sicherheit von Kryptoverfahren
Welche Verfahren und Schlüssellängen sind noch sicher?
Im
Windows Developer 1.18
ist ein Überblick über den aktuellen Stand der Sicherheit in der
Kryptographie erschienen: Welche Kryptoverfahren und
Schlüssellängen sollte man verwenden, welche sollte man meiden?
Der Artikel hat zwar das gleiche Thema wie der im PHP Magazin 1.18 (s.u.),
ist mit dem aber nur teilweise identisch.
Links
Die Linksammlung finden Sie auf dieser
Extraseite.
Angriffsvektor Bluetooth
Ist BlueBorne der ganze Eisberg oder nur seine Spitze?
Im
Windows Developer 12.17
ist ein Artikel über die BlueBorne-Schwachstellen in Bluetooth sowie
die Sicherheit von Bluetooth allgemein erschienen.
Eine Leseprobe gibt es auf
entwickler.de.
Links
Die Linksammlung finden Sie auf dieser
Extraseite.
Windows 10 im Visier der Sicherheitsforscher
Wie sicher ist Microsofts aktuellstes System?
Im
Windows Developer 11.17
ist ein Artikel über den aktuellen Stand der Sicherheit von Windows 10 erschienen.
Links
Die Linksammlung finden Sie auf dieser
Extraseite.
Das kommt hier nicht raus, oder doch?
Wo ein Wille ist, ist auch ein Weg
Im
Windows Developer 10.17
ist ein Artikel über die Sicherheit von Data Loss Prevention erschienen.
Links
Die Linksammlung finden Sie auf dieser
Extraseite.
Wie sicher sind virtuelle Maschinen?
Kann man aus VMs ausbrechen und die Sicherheitsfunktionen des Hypervisors austricksen?
Im
Windows Developer 9.17
ist ein Artikel über die Sicherheit virtueller Maschinen erschienen.
Links
Die Linksammlung finden Sie auf dieser
Extraseite.
Auch übermorgen noch sicher
Kryptografie ist ein Zeitschloss, Quantencomputer sind die zugehörigen Zeitmaschinen
Im
windows.developer 7.17
ist ein Artikel über Post-Quanten-Kryptographie erschienen.
Links
Die Linksammlung finden Sie auf dieser
Extraseite.
Wie kontert man Social Engineering?
Kann man Scam, Phishing und Spear-Phishing evtl. technisch bekämpfen?
Im
windows.developer 6.17
ist ein Artikel über Social-Engineering-Angriffe (Scams, Phishing
und Spear-Phishing) erschienen. Kann man diese Angriffe technisch
bekämpfen, oder sind die potentiellen Opfer darauf angewiesen, sie
eigenständig zu erkennen?
Eine Leseprobe des Artikels gibt es
auf entwickler.de!
Links
Die Linksammlung finden Sie auf dieser
Extraseite.
Ein Bild? Ein Exploit? Oder beides?
Stegosploit – Angriffe, versteckt in einem Bild
Im
windows.developer 5.17
ist ein Artikel über Stegosploit erschienen, eine Methode, um
Exploits samt zugehörigen JavaScript-Code in Bildern zu verbergen.
Links
Die Linksammlung finden Sie auf dieser
Extraseite.
Auf in die Cloud?
Unterschiedliche Arten der Sicherheit der Cloud
Im
windows.developer 4.17
ist ein Artikel über Sicherheit in der Cloud erschienen.
Links
Die Linksammlung finden Sie auf dieser
Extraseite.
Websecurity 2016: Angriffe auf Webserver
Erst wurde der Client angegriffen, nun ist der Server dran
Im
windows.developer 3.17
ist ein Artikel über neue Angriffe auf Webserver erschienen.
Links
Die Linksammlung finden Sie auf dieser
Extraseite.
Websecurity 2016: Browser und Webclient
Neue Angriffsbeispiele von den Sicherheitskonferenzen
Im
windows.developer 2.17
ist ein Artikel über neue Angriffe auf Webbrowser und Webclient erschienen.
Links
Die Linksammlung finden Sie auf dieser
Extraseite.
Ist es ein Update oder ein Schädling?
Windows Update und die falschen Updates
Im
windows.developer 1.17
ist ein Artikel über Angriffe auf Windows Update erschienen.
Links
Die Linksammlung finden Sie auf dieser
Extraseite.
WMI in Angreiferhand
Was Admins brauchen, können Angreifer missbrauchen
Im
windows.developer 12.16
ist ein Artikel über Angriffe auf die Windows Management
Instrumentation (WMI) erschienen.
Links
- [1] Jérémy Brun; Pop Pop Ret: "Playing with MOF files on Windows, for fun & profit"
- [2] Matthew Graeber; Black Hat USA 2015: "Abusing Windows Management Instrumentation (WMI) to Build a Persistent, Asynchronous, and Fileless Backdoor"
(Video
auf YouTube)
- [3] Matthew Graeber, Willi Ballenthin, Claudiu Teodorescu; DEF CON 23: "WhyMI so Sexy? WMI Attacks, Real-Time Defense, and Advanced Forensic Analysis"
(Präsentation
als PDF,
Video
auf YouTube)
- [4] William Ballenthin, Matt Graeber, Claudiu Teodorescu; FireEye Threat Research Blog: "Windows Management Instrumentation (WMI) Offense, Defense, and Forensics"
- [5] Distributed Management Task Force (DMTF): Web-Based Enterprise Management (WBEM)
- [6] Distributed Management Task Force (DMTF): Common Information Model (CIM)
- [7] Microsoft Developer Network: Win32_Process class (Windows)
- [8] Microsoft Developer Network: Querying with WQL
- [9] Casey Smith, GitHub: EvilWMIProvider - Installs And Executes Shellcode
- [10] Jared Atkinson, GitHub: EvilNetConnectionWMIProvider
- [11] Matt Graeber; GitHub: WMI_Backdoor
- [12] Dave Hull; GitHub: Kansa - A Powershell incident response framework
- [13] FireEye; GitHub: flare-wmi/WMI-IDS
- [14]Timothy Parisi, Evan Pena; FireEye Threat Research Blog: "WMI vs. WMI: Monitoring for Malicious Activity"
Authentifizierung: einer reicht nicht
Warum die Zwei-Faktor-Authentifizierung sicherer ist
Im
windows.developer 11.16
ist ein Artikel über die Zwei-Faktor-Authentifizierung erschienen.
Links
Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer
Extraseite
ausgelagert.
Angriffsziel Active Directory
Wie wird man Admin? Indem man sich dazu macht!
Im
windows.developer 11.16
ist ein Artikel über Angriffe auf Active Directory erschienen.
Links
Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer
Extraseite
ausgelagert.
IoT und die Sicherheit
Sicherheit oder Geräte des Internet of Things?
Im
windows.developer 9.16
ist ein Artikel über die Sicherheit im Internet of Things erschienen.
Links
Alles im Fluss?
Angriffe auf den Kontrollfluss von .NET-Anwendungen
Im
windows.developer 7.16
ist ein Artikel über Angriffe auf den Kontrollfluss von
.NET-Anwendungen erschienen.
Links
Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer
Extraseite
ausgelagert.
The Good, the Bad, the Ugly
Wie sicher sind Shims eigentlich?
Im
windows.developer 6.16
ist ein Artikel über die Sicherheit von Shims erschienen. Die
verwendet Microsoft zum Beispiel im Rahmen der Fix-it-Patches,
Cyberkriminelle können sie aber für ihre Zwecke missbrauchen.
Links
- [1] Microsoft TechNet: "Application Compatibility Toolkit (ACT) Technical Reference"
- [2] Eric Lai; Computerworld: "Your company's apps incompatible with Windows 7? Shim them, says Microsoft"
- [3] Chris Jackson; The App Compat Guy: "Windows Vista Shim Internals Basics: How Shims Work to Address Compatibility Issues (and What are the Ramifications?)"
- [4] Chris Jackson; The App Compat Guy: "What does the MoveIniToRegistry Shim Do?"
- [5] Microsoft TechNet: "Understanding Shims"
- [6] Application Compatibility Database
- [7] Deepinder Singh; Ask the Performance Team Blog: "Demystifying Shims – or – Using the App Compat Toolkit to make your old stuff work with your new stuff"
- [8] Vijay Raj; msigeek: "Creating a Shim/Fix Using Compatibility Administrator"
- [9] Ollie; Research, Develop, Assess, Consult & Educate Blog: "Windows AppCompat Research Notes - Part 1"
- [10] Ollie; Research, Develop, Assess, Consult & Educate Blog: "Windows AppCompat Research Notes - Part 2"
- [11] Mark Baggett; Derbycon 2013: "Windows is 0wned by Default!"
- [12] Jon Erickson; Black Hat Asia 2014: "Persist It: Using and Abusing Microsoft's Fix It Patches"
- [13] William Ballenthin, Jonathan Tomczak; BruCON 2015: "The Real Shim Shady" (PDF)
- [14] Sean Pierce; DEF CON 23: "Abusing native Shims for Post Exploitation"
(Material)
- [15] securesean auf GitHub
- [16] Shim Database Tools
- [17] Sean Pierce; Black Hat Europe 2015: "Defending Against Malicious Application Compatibility Shims"
- [18] Fred House, Claudiu Teodorescu, Andrew Davis; FireEye Threat Research Blog: "Shim Shady: Live Investigations of the Application Compatibility Cache"
- [19] fireeye/Volatility-Plugins/shimcachemem auf GitHub
Crypto Wars und ihre Folgen
Wer Verschlüsselung schwächt, gefährdet alle
Im
windows.developer 5.16
ist ein Artikel über die Vorträge erschienen, die auf den
32. Chaos Communication Congress (32C3) rund um die neuen und alten
Versuche zur Schwächung von Kryptographie gehalten wurden.
Update 2.6.2016:
Der Artikel wurde jetzt auch online
auf entwickler.de
veröffentlicht.
Ende des Updates
Links
- [1] Carsten Eilers: "Verschlüsselung im NSA-Zeitalter - Kryptografiestandards und Protokolle"; entwickler.press, Juni 2014
- [2] Carsten Eilers: "Datensicherheit"; entwickler.press, November 2015
- [3] Patrick Howell O'Neill; Daily Dot: "Former NSA chief says U.S. can get around encryption with metadata, argues against backdoors"
- [4] Kieren McCarthy; The Register: "Dutch govt says no to backdoors, slides $540k into OpenSSL without breaking eye contact"
- [5] Iain Thomson; The Register: "French say 'Non, merci' to encryption backdoors"
- [6] Kurt Opsahl; 32C3: "Crypto Wars Part II"
(Präsentation)
- [7] Henry Baker: "[Cryptography] CCC: Crypto Wars Part II: The Empire Strikes Back"
- [8] Matthew Green; A Few Thoughts on Cryptographic Engineering: "On the Juniper backdoor"
- [9] J. Alex Halderman, Nadia Heninger; 32C3: "Logjam: Diffie-Hellman, discrete logs, the NSA, and you"
(Präsentation)
- [10] Weak Diffie-Hellman and the Logjam Attack
- [11] David Adrian, Karthikeyan Bhargavan, Zakir Durumeric, Pierrick Gaudry, Matthew Green, J. Alex Halderman, Nadia Heninger, Drew Springall, Emmanuel Thomé, Luke Valenta, Benjamin VanderSloot, Eric Wustrow, Santiago Zanella-Béguelin, Paul Zimmermann; 22nd ACM Conference on Computer and Communications Security (CCS ’15), Denver, CO, Oktober 2015: "Imperfect Forward Secrecy: How Diffie-Hellman Fails in Practice"
(PDF)
- [12] Whitfield Diffie, Martin E. Hellman; IEEE Transactions on Information Theory, Vol. IT-22, No. 6, November 1976: "New Directions in Cryptography"
(PDF)
Windows 10 ein Botnet?
Windows auf dem 32C3
Im
windows.developer 3.16
ist ein Artikel über die Vorträge erschienen, die auf den
32. Chaos Communication Congress (32C3) zu Windows und Co. gehalten
wurden.
Links
Angriffsziel Auto(-IT)
Infotainmentsysteme, OBD-IIPort und Co. bieten immer mehr Angriffsstellen
Im
windows.developer 3.16
ist ein Artikel über Angriffe auf die IT-Systeme in Autos erschienen.
Links
Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer
Extraseite
ausgelagert.
Windows 10: gefährlich oder gefährdet?
Das neue OS auf den Sicherheitskonferenzen
Im
windows.developer 2.16
ist ein Artikel über die Vorträge erschienen, die auf den
Sicherheitskonferenzen bisher zu Windows 10 gehalten wurden.
Links
Wie sicher sind virtuelle Maschinen?
Wenn Cyberkriminelle die VM übernehmen
Im
windows.developer 2.16
ist ein Artikel über die Sicherheit virtueller Maschinen erschienen.
Links
Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer
Extraseite
ausgelagert.
Edge und die Sicherheit
Darum ist Edge sicherer als der IE
Im
windows.developer 1.16
ist ein Artikel über die Sicherheit von Edge erschienen. Microsofts
neuer Browser ist deutlich sicherer als sein Vorgänger Internet
Explorer, denn Microsoft hat gewaltig aufgeräumt.
Update 21. April 2016:
Der Artikel ist jetzt auch
online verfügbar.
Ende des Updates
Links
Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer
Extraseite
ausgelagert.
Lost Identity
Identitätsmissbrauch: Was kann passieren, und was kann man dagegen machen?
Im
windows.developer 1.16
ist ein Artikel über die möglichen Folgen eines
Identitätsmissbrauchs und wie man sich schützen kann erschienen.
Links
Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer
Extraseite
ausgelagert.
Windows 10: Sicherheit für Entwickler
Überblick über die neuen Sicherheitsfunktionen
Im
windows.developer 12.15
ist ein Artikel über die für Entwickler relevanten Sicherheitsfunktionen
von Windows 10 erschienen.
Links
Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer
Extraseite
ausgelagert.
Office in der Cloud - und die Sicherheit?
Ein paar Bemerkungen und Fakten zur Sicherheit von Office 365
Im
windows.developer 11.15
ist ein Artikel zur Sicherheit von Office 365 erschienen.
Links
Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer
Extraseite
ausgelagert.
Wie sicher ist C# 6.0?
Das gibt es Neues rund um die Sicherheit von C# 6.0
Im
windows.developer 10.15
ist ein Artikel zur Sicherheit von C# 6.0 erschienen.
Links
Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer
Extraseite
ausgelagert.
Achtung, AngularJS
JavaScript-Code: praktische Angriffsbeispiele
Im
windows.developer 9.15
ist ein Artikel zur Sicherheit von AngularJS erschienen.
Links
Einstieg in die Welt der Exploits
Wie man Schwachstellen, Workarounds und Patches testen kann
Im
windows.developer 8.15
ist ein Artikel über das Testen von Schwachstellen, Workarounds und
Patches mit Hilfe von Exploits erschienen.
Links
Überall sicher
Wie sicher ist eine Cross-Plattform-Entwicklung eigentlich?
Im
windows.developer 7.15
ist ein Artikel über die Sicherheit der Cross-Plattform-Entwicklung erschienen.
Links
Angriffsziel Team Foundation Server
Wie sicher ist der TFS?
Im
windows.developer 6.15
ist ein Artikel über die Sicherheit des Team Foundation Servers erschienen.
Links
Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer
Extraseite
ausgelagert.
Wie DevOps die Sicherheit erhöhen kann
„Best Practices“ in Sachen Sicherheit mit DevOps
Im
windows.developer 5.15
ist ein Artikel über Sicherheit mit DevOps erschienen.
Links
- [1] Carsten Eilers: "Microsoft Security Development Lifecycle"; windows.developer 4.2012
- [2] James DeLuccia IV, Jeff Gallimore, Gene Kim, Byron Miller: "DevOps Auditor Defense Toolkit"
Windows 10 und die Sicherheit
Authentifizierung, Data Loss Prevention und mehr
Im
windows.developer 5.15
ist ein Artikel über die bisher bekannten Neuerungen rund um die
Sicherheit von Windows 10 erschienen.
Links
Der Browser im Visier - ganz praktisch
Statt grauer Theorie praktische Proof of Concepts und Exploits
Im
windows.developer 4.15
ist ein Artikel über Angriffe auf den Webbrowser erschienen. Und zwar
von der praktischen Seite: Welche Proof-of-Concepts und Exploits wurden
denn für den Browser veröffentlicht?
Links
Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer
Extraseite
ausgelagert.
Azures Sicherheit - ein Update
Was gibt es Neues zur Sicherheit von Microsoft Azure?
Im
windows.developer 4.15
ist ein Artikel über die Sicherheit von Azure erschienen. Es handelt
sich um ein Update für den Artikel im windows.developer 2.2014 zum
gleichen Thema.
Links
Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer
Extraseite
ausgelagert.
Docker-Sicherheit im Überblick
Ist Docker so unsicher, dass wir eine Alternative brauchen?
Im
windows.developer 3.15
ist ein Artikel über die Sicherheit von Docker erschienen.
Links
Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer
Extraseite
ausgelagert.
Angriffsziel Internet of Things
Wie sicher sind die ganzen Dinge, die mit dem Internet verbunden werden?
Im
windows.developer 2.15
ist ein Artikel über die Sicherheit des IoT erschienen.
Links
Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer
Extraseite
ausgelagert.
JavaScript und die Sicherheit
Welche neuen Angriffe gibt es und wie kann man sie verhindern?
Im
windows.developer 12.2014
ist ein Artikel über Angriffe zur Sicherheit von JavaScript
erschienen. Darin geht es um zwei Themen: Zum einen um einige neue bzw.
verbesserte Angriffe, die auf den Sicherheitskonferenzen vorgestellt
wurden. Zum anderen um zwei Möglichkeiten, solchen Angriffen zu
begegnen.
Links
Exotisches Ungeziefer
Schädlinge für Windows sind nicht mehr das einzige Problem
Im
windows.developer 11.2014
ist ein Artikel über Schädlinge jenseits von Windows erschienen.
Was eigentlich als unterhaltsamer Text geplant war, wurde von der
Entwicklung überholt: SynoLocker für Synology-NAS-Systeme und
BackOff für Point-of-Sale-Systeme sind zwei Schädlinge, die
großen Schaden anrichten können und schon angerichtet haben.
Links
- [1] Symantec Schädlings-Datenbank: TIOS.Tigraa
- [2] Carsten Eilers: "Ransomware: Geld her, oder die Daten sind weg"
- [3] Carsten Eilers: "Wie Wifi hackende Katzen mit Ransomware ein nicht tot zu kriegendes Botnet kapern. Oder so."
- [4] Roel Schouwenberg, Securelist: "ZeroLocker won't come to your rescue"
- [5] Artturi Lehtiö, F-Secure: "Ransomware Race (part 2): Personal media the next frontier?"
- [6] Synology: "Synology® Continues to Encourage Users to Update"
- [7] Artturi Lehtiö, F-Secure: "Ransomware Race (Part 3): SynoLocker Under The Hood"
- [8] Artturi Lehtiö, F-Secure: "Ransomware Race (part 5): SynoLocker's unkept promises"
- [9] F-Secure/Synounlocker auf GitHub
- [10] The SBS Guys – Actrix Networks: "My Synology RackStation got Hacked!"
- [11] Synology Inc. Online Community Forum - View topic: "hacked ressource Monitor"
- [12] Synology: "Synology® Fixes Vulnerability in DiskStation Manager"
- [13] US-CERT: Alert (TA14-212A) - Backoff Point-of-Sale Malware
- [14] US-CERT Publications: "Backoff Point-of-Sale Malware"
- [15] Rob VandenBrink, InfoSec Handlers Diary Blog: "Trolling Memory for Credit Cards in POS / PCI Environments"
- [16] Rob VandenBrink, InfoSec Handlers Diary Blog: "One More Day of Trolling in POS Memory"
- [17] Trend Micro Security Intelligence Blog: "New PoS Malware "Backoff" Targets US"
- [18] Symantec Security Response: "Trojan Backoff: A new point-of-sale threat emerges"
- [19] Costin Raiu, Roel Schouwenberg, Ryan Naraine; Securelist: "Sinkholing the Backoff POS Trojan"
- [20] Rob VandenBrink, InfoSec Handlers Diary Blog: "Point of Sale Terminal Protection - "Fortress PCI at the Mall""
- [21] Michael Soboll, Hannoversche Allgemeine Zeitung: "Betrüger plündern Konten von 140 Baumarktkunden in Hannover"
- [22] Dan Petro, Bishop Fox Blog: "The Rickmote Controller: Hacking One Chromecast at a Time"
- [23] Rob Waugh, ESET WeLiveSecurity Blog: "Wi-Fi security alert on Chromecast as ‘Rickmote’ hijacks nearby boxes"
- [24] Carsten Eilers: "Internet of (In)Security?"; Entwickler Magazin 4.14
Lebensretter an Tag Null
Das Enhanced Mitigation Experience Toolkit schützt vor 0-Day-Exploits
Im
windows.developer 10.2014
ist ein Artikel über das Enhanced Mitigation Experience Toolkit (EMET)
erschienen. Es gibt eine ganze Reihe so genannter Mitigations, mit denen
die Ausnutzung von Schwachstellen erschwert werden kann. Eigentlich ist es
Aufgabe der Entwickler, diese Mitigations in ihren Programmen zu nutzen.
Tun sie das nicht, kann man mit Microsofts EMET nachhelfen. Und das sollte
man auch, denn die Mitigations erschweren auch Angriffe mit 0-Day-Exploits,
also auf Schwachstellen, für die es noch keinen Patch gibt. Und dann
können nur die Mitigations den Erfolg des Angriffs verhindern.
Links
- [1] Microsoft: Enhanced Mitigation Experience Toolkit
- [2] Carsten Eilers: "Schutzmaßnahmen: Der Pufferüberlauf im Überblick"
- [3] Carsten Eilers: "Schutzmaßnahmen: Canary und DEP gegen Pufferüberlauf-Schwachstellen"
- [4] Carsten Eilers: "Schutzmaßnahmen: ASLR gegen Pufferüberlauf-Schwachstellen"
- [5] Carsten Eilers: "Schutzmaßnahmen: ASLR kann unterlaufen werden"
- [6] Tim Newton, Ask the Performance Team Blog: "Demystifying Shims - or - Using the App Compat Toolkit to make your old stuff work with your new stuff"
- [7] Carsten Eilers: "Die 0-Day-Exploits 2013 im Überblick"
- [8] Carsten Eilers: "Die 0-Day-Exploits 2014 im Überblick"
- [9] Carsten Eilers: "0-Day-Exploit oder 0-Day-Schwachstelle - was ist denn da der Unterschied?"
- [10] Carsten Eilers: "Wasserloch-Angriffe über 0-Day-Schwachstelle im Internet Explorer"
- [11] Neil Sikka, Security Research & Defense Blog: "Fix it tool available to block Internet Explorer attacks leveraging CVE-2014-0322"
- [12] Darien Kindlund, Dan Caselden, Xiaobo Chen, Ned Moran, Mike Scott; FireEye: "Operation SnowMan: DeputyDog Actor Compromises US Veterans of Foreign Wars Website"
- [13] Carsten Eilers: "Eine neue 0-Day-Schwachstelle in MS Word ist auch über Outlook ausnutzbar"
- [14] Chengyun Chu, Elia Florio; Security Research & Defense Blog: "Security Advisory 2953095: recommendation to stay protected and for detections"
- [15] Elia Florio; Security Research & Defense Blog: "When ASLR makes the difference"
- [16] Matt Miller, Security Research & Defense Blog: "Preventing the Exploitation of Structured Exception Handler (SEH) Overwrites with SEHOP"
- [17] Elia Florio, Security Research & Defense Blog: "EMET 4.0's Certificate Trust Feature"
- [18] Carsten Eilers: "Man-in-the-Middle-Angriffe auf HTTPS"
- [19] EMET Team, Security Research & Defense Blog: "Announcing EMET 5.0 Technical Preview"
- [20] Jared DeMott, Bromium Labs "Call of the Wild" Blog: "Bypassing EMET 4.1"
Google Hacking, the Bing Way
Mit Suchmaschinen Dinge finden, die nicht gefunden werden sollen
Im
windows.developer 8.2014
ist ein Artikel über das "Google Hacking" mit Bing erschienen. Denn auch
mit Bing lässt sich manches finden, was eigentlich gar nicht gefunden
werden sollte. Wenn man auf Anfragen aus der Google Hacking Database
zurück greift muss man die mitunter etwas an Bing anpassen, für eigene
Anfragen kann man sofort Bings Möglichkeiten nutzen.
Links
In Redmond nichts Neues
Ein bisschen was zur Sicherheit (nicht nur) des SQL Servers 2014
Im
windows.developer 6.2014
ist ein Artikel zur Sicherheit von SQL allgemein und des SQL Servers 2014
im besonderen erschienen. Aus Sicherheitssicht gibt es beim SQL Server
2014 wenig Neues. Aber ein Thema ist ja leider immer aktuell: SQL
Injection und wie man sie verhindert. Vor allem um letzteres geht es in
diesem Artikel, die Neuerungen bei der Sicherheit gibt es quasi als
Zugabe.
Links
PowerShell sicher einsetzen
Sicherheit der PowerShell im Überblick
Im
windows.developer 5.2014
ist ein Artikel über die Sicherheit der PowerShell erschienen: Wie
wird die PowerShell vor Missbrauch geschützt, welche Angriffe
auf/über die PowerShell gibt es, und auf was muss man bei ihrem
Einsatz achten?
Links
JavaScript in Angreiferhand
JavaScript ermöglicht nicht nur den Webentwicklern viele Möglichkeiten
Im
windows.developer 3.2014
ist ein Artikel über Angriffe über JavaScript erschienen.
JavaScript-Code kann so wie jedes andere Computerprogramm auch
Schwachstellen enthalten, und so wie jede andere Programmiersprache können
auch in JavaScript Schadprogramme geschrieben werden. Beide Möglichkeiten
werden natürlich von Angreifern ausgenutzt - warum sollten sie auch darauf
verzichten?
Links
Azure und die Sicherheit
Eine kurze Bestandsaufnahme zur Sicherheit von Azure
Im
windows.developer 2.2014
ist ein Artikel über den aktuellen Stand der Sicherheit von Azure
erschienen. Im windows.developer 10.2012 war bereits ein Artikel über die
Sicherheit von Microsofts Cloud erschienen. Da stellt sich natürlich die
Frage, wie es denn inzwischen mit der Sicherheit von Azure aussieht. Wenn
man mal davon absieht, dass die NSA alles absaugt, was sich finden lässt.
Und die Sicherheit von Azure hat sich 2013 durchaus weiterentwickelt.
Außerdem hat sich die Unsicherheit nicht erhöht, denn auf den
Sicherheitskonferenzen wurden 2013 keine neuen Angriffe auf oder
Schwachstellen in Azure präsentiert.
Links
- [1] Carsten Eilers: "Sicher in der Microsoft Cloud", windows.developer 10.2012
- [2] Sarah Fender, Windows Azure Blog: "Introducing Multi-Factor Authentication on Windows Azure"
- [3] Alex Simons, Active Directory Team Blog: "Windows Azure Active Authentication: Multi-Factor for Security and Compliance"
- [4] Steven Martin, Windows Azure Blog: "Announcing General Availability of Windows Azure Multi-Factor Authentication"
- [5] Scott Guthrie, ScottGu's Blog: "Windows Azure: New Virtual Machine, Active Directory, Multi-Factor Auth, Storage, Web Site and Spending Limit Improvements"
- [6] Lori Woehler, Windows Azure Security Blog: "Windows Azure Receives SOC 2 Type 2 report with CSA CCM Attestation"
- [7] Susie Adams, The Official Microsoft Blog: "Windows Azure cloud services achieve critical federal security milestone"
- [8] Sarah Fender, Windows Azure Blog: "Windows Azure Achieves another Industry First with its FedRAMP JAB P-ATO"
- [9] Joint Authorization Board (JAB)
- [10] Luis Panzano, Luis Panzano - BLOG: "Windows Azure Billing Changes, Dev/Test Scenarios, Hybrid Architectures and other enhancements"
- [11] Michael Washam: "Windows Azure PowerShell June 2013 Update for IaaS and PaaS"
- [12] Microsoft Security TechCenter: New Security Policy for Store Apps
- [13] Microsoft Security TechCenter: Security Bulletin Severity Rating System
- [14] Mike Reavey, Microsoft Trustworthy Computing Blog: "RSA Europe 2013: Operational Security for Online Services"
- [15] Steven Martin, Windows Azure Blog: "Windows Azure Service Disruption from Expired Certificate"
- [16] Mike Neil, Windows Azure Blog: "Details of the February 22nd 2013 Windows Azure Storage Disruption"
- [17] Graham Cluley: "Don’t call it ‘the cloud’. Call it ‘someone else’s computer’"
Wie sicher ist Windows 8?
Windows 8 und die Sicherheit – ein Jahr später
Im
windows.developer 1.2014
ist ein Artikel über die Entwicklung der Sicherheit von Windows 8 seit
seinem Erscheinen erschienen. Seit der Veröffentlichung von Windows 8
ist etwas mehr als ein Jahr vergangen. Ein Jahr, in dem es keine besonders
auffälligen Angriffe durch Cyberkriminelle oder Geheimdienste gab -
die konzentrieren sich noch auf die deutlich weiter verbreiteten
Vorgängerversionen. Aber wie sieht es denn bei den
Sicherheitsforschern aus? Die waren recht aktiv und haben die Sicherheit
von Windows 8 gründlich unter die Lupe genommen. Im Artikel gibt es
einen Überblick über die auf den Sicherheitskonferenzen
vorgestellten Ergebnisse
Links
- [1] Carsten Eilers: "Sicher durch Windows 8", windows.developer 7.2012
- [2] Carsten Eilers: "Die Sandbox und ihre Sicherheit", windows.developer 11.2012
- [3] Yuriy Bulygin, Andrew Furtak, Oleksandr Bazhaniuk; Black Hat USA 2013: "A Tale of One Software Bypass of Windows 8 Secure Boot"
- [4] NIST Special Publication 800-147: "BIOS Protection Guidelines"
(PDF)
- [5] Ling Chuan Lee, Chan Lee Yee; Black Hat USA 2013: "Smashing The Font Scaler Engine in Windows Kernel"
- [6] Carsten Eilers: "Microsoft Security Development Lifecycle", windows.developer 4.2012
- [7] Carsten Eilers: "Schutzmaßnahmen: Canary und DEP gegen Pufferüberlauf-Schwachstellen"
- [8] Carsten Eilers: "Schutzmaßnahmen: ASLR gegen Pufferüberlauf-Schwachstellen"
- [9] Carsten Eilers: "Schutzmaßnahmen: ASLR kann unterlaufen werden"
- [10] Matt Miller, Ken Johnson; Black Hat USA 2011: "Exploit Mitigation Improvements in Win 8"
- [11] Chengyun Chu, Power of Community! 2012: "Exploit Mitigation Improvements in Windows 8"
(Präsentation als PDF)
- [12] Forbes Higman: "Enhanced Memory Protections in IE10"
- [13] Mateusz ‘j00ru’ Jurczyk: "Subtle information disclosure in WIN32K.SYS syscall return values"
- [14] Dan Rosenberg: "Defeating Windows 8 ROP Mitigation"
- [15] Chris Valasek, Tarjei Mandt; Black Hat USA 2012: "Windows 8 Heap Internals"
- [16] Microsoft BlueHat Prize Contest
- [17] BlueHat Prize Entries
- [18] The BlueHat Prize Winners Announced
- [19] Kevin Snow, Lucas Davi; Black Hat USA 2013: "Just-In-Time Code Reuse: The more things change, the more they stay the same"
- [20] Georg Wicherski, Alexandru Radocea, Alex Ionescu; Black Hat USA 2013: "Hacking like in the Movies: Visualizing Page Tables for Local Exploitation"
- [21] Nikita Tarakanov; Hack in the Box Amsterdam 2013: "Exploiting Hardcore Pool Corruptions in Microsoft Windows Kernel"
(Material als ZIP)
- [22] Bruno Pujos, LSE Summer Week 2013: "A Look into the Windows Kernel"
- [23] Zhenhua 'Eric' Liu, Black Hat Europe 2013: "Advanced Heap Manipulation in Windows 8"
- [24] MJ0011, Power of Community! 2012: "Using a Patched Vulnerability to Bypass Windows 8 x64 Driver Signature Enforcement"
(Präsentation als PDF)
- [25] CVE-2010-4398
- [26] Didier Stevens; Hack in the Box Amsterdam 2013: "Windows x64: The Essentials"
(Präsentation als PDF)
- [27] Bill Sempf, Black Hat USA 2013: "Hardening your Windows 8 apps for the Windows Store"
- [28] Microsoft Mitigation Bypass Bounty and BlueHat Bonus for Defense Program
- [29] Congratulations to James Forshaw Recipient of Our First $100,000 Bounty for New Mitigation Bypass Techniques!
Der Blick ins Wohnzimmer
Was es zur Sicherheit der Kinect zu sagen gibt
Im
windows.developer 11.2013
ist ein Artikel über die Sicherheit der Kinect erschienen.
Vorgestellt werden theoretische und praktische Angriffe, außerdem der
Einsatz der Kinect im Dienste der Sicherheit. Wobei die Angriffe kaum eine
wirkliche Gefahr darstellen, die Anwendungen der Kinect als
Sicherheitssystem sind dagegen recht interessant.
Links
- [1] T.C. Sottek, The Verge: "The Xbox One will always be listening to you, in your own home (update)"
- [2] Nicole Perlroth, Jeff Larson, Scott Shane; New York Times: "N.S.A. Able to Foil Basic Safeguards of Privacy on Web"
- [3] James Ball, Julian Borger, Glenn Greenwald; The Guardian: "Revealed: how US and UK spy agencies defeat internet privacy and security"
- [4] Glenn Greenwald, Ewen MacAskill, Laura Poitras, Spencer Ackerman, Dominic Rushe; The Guardian: "Microsoft handed the NSA access to encrypted messages"
- [5] Brad Smith, General Counsel & Executive Vice President, Legal & Corporate Affairs, Microsoft; Microsoft on the Issues Blog: "Responding to government legal demands for customer data"
- [6] Sean Hollister; The Verge: "Could the NSA use Microsoft's Xbox One to spy on you?"
- [7] Nate Anderson, Ars Technica: "CSI: Xbox—how cops perform Xbox Live stakeouts and console searches"
- [8] Lachlan Urquhart, Sophos Naked Security: "US Police use games consoles in crime investigations"
- [9] Lisa Vaas, Sophos Naked Security: "US government learning how to hack video game consoles"
- [10] Spiegel online: "Datenschützer: Schaar nennt Xbox One "Überwachungsgerät""
- [11] Häufig gestellt Fragen zu Datenschutz und Onlinesicherheit bei Kinect
- [12] United States Patent Application: 0120278904: "Content distribution regulation by viewing user"
- [13] United States Patent Application: 0130125161: "Awards and achievements across tv ecosystem"
- [14] Jeremy Bailenson, Slate Magazine: "Your Kinect Is Watching You"
- [15] Carsten Eilers: "Flame? - Kein Grund zur Panik!"
- [16] Carsten Eilers: "Gap of War", windows.developer 7.2013
- [17] AlexP: "Windows Kinect Driver/SDK - Xbox NUI Audio, NUI Camera, NUI Motor and Accelerometer"
- [18] YouTube: MalCon 2011, Shantanu Gawde - Malware utilizing Xbox Kinect
- [19] Mohit Kumar, The Hacker News: "Malware for xbox Kinect created by 15 years old Indian researchers"
- [20] KinectASploit
- [21] KinectASploitv2
- [22] Jennifer Steele, Microsoft in Public Safety & National Security Blog: "Catching criminals with Kinect"
- [23] Joan Liu, Information Systems Officer, Ministry of Home Affairs, Singapore: "Leveraging Kinect For Homeland Security Applications"
(PDF)
- [24] Christoph Konetschny, Materialsgate: "Sicherheit: Kinect-Sensor entschärft gefährliche Arbeitsabläufe"
- [25] Etronika NUI Banking
- [26] Kinectonitor
- [27] Abhijit Jana: "Home Security System Using Kinect, Azure, Windows Phone and Windows 8"
Embedded (In)security
Wie sieht es mit der Sicherheit von Embedded Devices aus?
Im
windows.developer 10.2013
ist ein Artikel über die Sicherheit von Embedded Devices erschienen.
Vorgestellt werden theoretische und praktische Angriffe auf verschiedene
Embedded Devices wie zum Beispiel
- die Steuerrechner von Druckern und Multifunktionsgeräten,
- allgemein die Webserver in Embedded Devices sowie
- Insulinpumpen und andere Medizintechnik im und am Menschen.
Links
Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer
Extraseite
ausgelagert.
Naturally Secure UIs
Neue Oberfläche, neue Angriffe - oder doch nicht?
Im
windows.developer Magazin 9.2013
ist ein Artikel über die Sicherheit von Natural User Interfaces
erschienen. Vorgestellt werden theoretische und praktische Angriffe,
außerdem werden zwei Gerüchte auf ihren Wahrheitsgehalt untersucht.
Links
- [1] Wikiquote:
Blaise Pascal
- [2] Yang Zhang, Peng Xia, Junzhou Luo, Zhen Ling, Benyuan Liu,
Xinwen Fu; SPSM '12 – 2nd ACM workshop on Security and privacy in
smartphones and mobile devices, Oktober 2012, Raleigh, NC, USA:
"Fingerprint attack against touch-enabled devices"
(PDF)
- [3] Adam J. Aviv, Katherine Gibson, Evan Mossop, Matt Blaze,
Jonathan M. Smith; WOOT '10 - 4th USENIX Workshop on Offensive
Technologies, August 2010, Washington, DC, USA: "Smudge Attacks on
Smartphone Touch Screens"
(PDF)
- [4] Federico Maggi, Stefano Zanero, Alberto Volpatto; Black Hat Abu Dhabi 2011, Dezember 2011, Abu Dhabi:
"iSnoop: How to Steal Secrets From Touchscreen Devices"
- [5] Federico Maggi, Alberto Volpatto, Simone Gasparini, Giacomo
Boracchi, Stefano Zanero; 7th International Conference Information
Assurance and Security (IEEE IAS), Dezember 2011, Malacca, Malaysia: "A Fast Eavesdropping Attack Against Touchscreens"
(PDF)
- [6] Haroon Meer, thinkst:
"On-screen Keyboards Considered Harmful"
- [7] Carsten Eilers:
"Clickjacking - Angriffe auf Seiten ohne Schwachstellen"
- [8] Gustav Rydstedt, Baptiste Gourdin, Elie Bursztein, Dan Boneh;
WOOT '10 - 4th USENIX Workshop on Offensive Technologies, August 2010,
Washington, DC, USA: "Framing Attacks on Smart Phones and Dumb
Routers: Tap-jacking and Geo-localization Attacks"
(PDF)
- [9] Yinfeng Qiu, Trend Micro:
"Tapjacking: An Untapped Threat in Android"
- [10] ESET Security:
"More than 90% of passwords are vulnerable to hacks, warns Deloitte – even "strong” ones"
Git und die Sicherheit
Was gibt es zum Thema Sicherheit bei GitHub zu beachten?
Im
windows.developer Magazin 7.2013
ist ein Artikel über die Sicherheit von Git und insbesondere GitHub
erschienen. Es handelt sich um eine erweiterte und aktualisierte Version
des Artikels aus dem PHP Magazin 4.2013. An einer Stelle wurde der
gedruckte Artikel aber bereits vom Internet überholt: Die Quelle [4] ist
nicht mehr online. Dabei handelt es sich um Egor Homakovs eigenes als
Proof of Concept genutztes Projekt.
Links
- [1] Tom Preston-Werner (mojombo), GitHub-Blog: "Public Key Security Vulnerability and Mitigation"
- [2] Michael Hartl's Tech Blog: "Mass assignment in Rails applications"
- [3] Tom Preston-Werner (mojombo), GitHub-Blog: "Responsible Disclosure Policy"
- [4] Egor Homakov:
"Commit that changed my life."
(Projekt ist nicht mehr online)
- [5] rails/rails Issue #5228: "Mass assignment vulnerability - how to force dev. define attr_accesible?"
- [6] Ruby On Rails Security Guide - 6 Mass Assignment
- [7] rails/rails Commit 06a3a8a: "Whitelist all attribute assignment by default."
- [8] Egor Homakov: "How-To"
- [9] homakov/ClientSit Issue #3: "Hello, I m Bender"
- [10] rails/rails Issue #5239: "I’m Bender from Future. [TITLE FOR SALE]"
- [11] rails/rails Commit b839657: "wow how come I commit in master? O_o"
- [12] Kommentar unter [11]
- [13] GitHub Help: "Responsible Disclosure of Security Vulnerabilities"
- [14] Tim Pease (TwP), GitHub-Blog: "A Whole New Code Search"
- [15] Paul Ducklin, Sophos: "Do programmers understand the meaning of PRIVATE?"
- [16] Michael Mimoso, threatpost: "GitHub Search Down After Some Credentials and Crypto Keys Exposed"
- [17] RaiderSec: "Automatically Enumerating Google API Keys from Github Search"
- [18] Melissa Elliott, @0xabad1dea: "Oh geez just found an ssh password to a production server ..."
- [19] Brian Doll (briandoll), GitHub-Blog: "Secrets in the code"
- [20] GitHub Help: "Remove sensitive data"
- [21] Dan Palmer: "GitHub's Security Vulnerabilities"
- [22] Carsten Eilers: "Websecurity: Cookie Tossing"
- [23] Egor Homakov: "Hacking Github with Webkit"
- [24] Ryan Tomayko (rtomayko), GitHub Blog: "New GitHub Pages domain: github.io"
- [25] Chris Roussel: "[Full-disclosure] GitHub Login Cookie Failure" ff
- [26] Secunia Advisories für Git 1.x
- [27] GitHub Help: "GitHub Security"
- [28] Wynn Netherland (pengwynn), GitHub Blog: "Easier builds and deployments using Git over HTTPS and OAuth"
- [29] Joshua Peek (josh), GutHub Blog: "Content Security Policy"
- [30] W3C: "Content Securityy Policy 1.0"
- [31] W3C: "Content Securityy Policy 1.1"
Gap of War
Stuxnet, Duqu, Flame, Gauss und miniFlame im Überblick
Im
windows.developer Magazin 7.2013
ist ein Artikel zu Stuxnet und Co. erschienen - den ersten Waffen im
Cyberwar der USA und Israels gegen den Irak und andere Länder.
Update 27. Dezember 2013
Der Artikel ist jetzt auch online
auf entwickler.de
verfügbar!
Ende des Updates
Links
Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer
Extraseite
ausgelagert.
Web-API-Entwickler sind Webentwickler
Sichere Authentifizierung und Autorisierung – und da war doch noch was?
Im
windows.developer Magazin 5.2013
ist ein Artikel über die Sicherheit von Web-APIs erschienen.
Vorgestellt werden die sichere Authentifizierung und Autorisierung,
außerdem gibt es ein paar Hinweise darauf, was sonst noch zu beachten
ist.
Links
Wie sicher ist das Tablet?
Angriffe auf Tablets in Theorie und Praxis
Im
windows.developer Magazin 4.2013
ist ein Artikel über die Sicherheit von Tablets erschienen.
Vorgestellt werden die bisher bekannten theoretischen und praktischen
Angriffe.
Links
- [1] Carsten Eilers: "Sicher, sicherer, iOS?"; Mobile Technology 4.2012
- [2] Windows 8 app certification requirements (Windows)
- [3] Carsten Eilers: "Kritische Schwachstellen, Schadsoftware - und Apple steckt den Kopf in den Sand"
- [4] Chester Wisniewski, Sophos: "Windows RT "jailbroken", shows its Windows 8 roots"
- [5] clrokr (@clrokr): "Circumventing Windows RT’s Code Integrity Mechanism"
- [6] Netham45: RT Jailbreak Tool
- [7] Paul Ducklin, Sophos: "Windows tablets - easy, one-stop jailbreak now available for everyone. What should Microsoft do? [POLL]"
- [8] Prashant Gupta, McAfee: "Stronger Windows 8 Still Vulnerable Through Apps, Users"
- [9] Prashant Gupta, McAfee: "Windows 8 Metro Brings New Security Risks"
- [10] Federico Maggi, Stefano Zanero und Alberto Volpatto, Black Hat Abu Dhabi 2011: "iSnoop: How to Steal Secrets From Touchscreen Devices"
- [11] Carsten Eilers: "Clickjacking - Angriffe auf Seiten ohne Schwachstellen"
- [12] Yinfeng Qiu, Trend Micro: "Tapjacking: An Untapped Threat in Android"
- [13] Gustav Rydstedt, Baptiste Gourdin, Elie Bursztein, Dan Boneh; Usenix Workshop on Offensive Technologies (woot) 2010: "Framing Attacks on Smart Phones and Dumb Routers: Tap-jacking and Geo-localization Attacks"
- [14] Marcus Niemietz, German OWASP Day 2012: "UI-Redressing-Angriffe auf Android"
(PDF)
- [15] Marcus Niemietz, Black Hat Abu Dhabi 2012: "UI Redressing Attacks on Android Devices"
Paper dazu: Marcus Niemietz, Jörg Schwenk: "UI Redressing Attacks on Android Devices"
(PDF)
- [16] Carsten Eilers: "Drive-by-Infektionen - Gefahren drohen überall"
Authentifizierung und Autorisierung
Claims-basierte Authentifizierung und OAuth für externe Apps im Überblick
Im
windows.developer Magazin 3.2013
ist ein Artikel über die Authentifizierung und Autorisierung in
SharePoint 2013 erschienen. Beschrieben werden der Einsatz der
Claims-basierten Authentifizierung und OAuth für externe Apps.
Links
Die Datenbank gehorcht dem Angreifer
Mit ASP.NET führt SQL Injection oft auch zu Drive-by-Infektionen
Im
windows.developer Magazin 2.2013
ist ein Artikel über SQL-Injection-Angriffe auf ASP.NET-Webanwendungen
erschienen.
Links
WebGL – harmful, harmlos oder von beidem etwas?
Microsoft hält WebGL für gefährlich. Stimmt das?
Im
windows.developer Magazin 12.2012
ist ein Artikel über die Sicherheit von WebGL erschienen.
Online-Version
Der Artikel ist inzwischen auch online verfügbar: Auf
entwickler.de.
Erratum
Leider hat sich in der Tabelle auf Seite 91 ein Druckfehler eingeschlichen.
Eine PDF-Datei mit der korrekten Tabelle finden Sie hier als
PDF.
Links
Die Sandbox und ihre Sicherheit
Sicher wie eine Festung oder unsicher wie eine Sandburg?
Im
windows.developer Magazin 11.2012
ist ein Artikel über die Sicherheit von Sandboxen, insbesondere in
Hinsicht auf den in Windows 8 für Windows-8-Apps eingeführten AppContainer,
erschienen.
Links
- [1] EricLaw's IEInternals: "Understanding Enhanced Protected Mode"
- [2] Research, Develop, Assess, Consult & Educate; Recx Blog: "Windows 8 App Container Security Notes, Part 1"
- [3] Sébastien Renaud, Kevin Szkudlapski; Hack in the Box Amsterdam 2012: "WinRT: The Metro-politan Museum of Security"
(Präsentation als
PDF)
- [4] Ming-chieh Pan, Sung-ting Tsai; BlackHat USA 2012: "The Line 8 Subway - Exploitation of Windows 8 Metro Style Apps"
- [5] Carsten Eilers: ""Binary Planting" - Unsichere Suchpfade führen ins Verderben"
- [6] Carsten Eilers: "Angreifern ein Schnippchen schlagen"; dot.Net Magazin 3.2012
- [7] Carsten Eilers: "Sind Schutzfunktionen wie DEP und ASLR überflüssig?"
- [8] Wendy Poland; Adobe Product Security Incident Response Team (PSIRT) Blog: "Security Advisory for Adobe Reader and Acrobat (APSA11-04)"
- [9] Peleus Uhley; Adobe Secure Software Engineering Team (ASSET) Blog: "Flash Player Sandboxing is Coming to Firefox"
- [10] Tom Keetch; BlackHat Europe 2011: "Escaping From Microsoft Windows Sandboxes"
- [11] Paul Sabanal, Mark Yason; BlackHat USA 2011: "Playing In The Reader X Sandbox"
- [12] Guillaume Lovet, Zhenhua Liu; BlackHat Europe 2012: "Breeding Sandworms: How To Fuzz Your Way Out of Adobe Reader's Sandbox"
- [13] Guillaume Delugré: "Bypassing ASLR and DEP on Adobe Reader X"
- [14] Chris Evans, Justin Schuh; Chromium Blog: "Pwnium: rewards for exploits"
- [15] Ryan Naraine: "CanSecWest Pwnium: Google Chrome hacked with sandbox bypass"
- [16] Ryan Naraine: "Pwn2Own 2012: Google Chrome browser sandbox first to fall"
- [17] Ryan Naraine: "Teenager hacks Google Chrome with three 0day vulnerabilities"
- [18] Dan Goodin: "At hacking contest, Google Chrome falls to third zero-day attack (Updated)"
- [19] Jorge Lucangeli Obes, Justin Schuh; Chromium Blog: "A Tale of Two Pwnies (Part 1)"
- [20] Ken Buchanan, Chris Evans, Charlie Reis, Tom Sepez; Chromium Blog: "A Tale Of Two Pwnies (Part 2)"
Sicher durch Windows 8
AppContainer, Windows.Security-Namespace und Mitigations im Überblick
Im windows.developer Sonderheft
Windows 8 Spezial
ist ein Artikel über die Sicherheitsrelevanten Neuerungen von WinRT
erschienen.
Es handelt sich um eine aktualisierte und erweiterte Fassung des Artikels
aus dem windows.developer Magazin 7.2012, daher auch der identische Titel.
In der Zeit seit dem Schreiben des damaligen Artikels wurden sowohl von
Microsoft als auch von verschiedenen Sicherheitsforschern diverse neue
Informationen veröffentlicht.
Links
Sicher in der Microsoft Cloud
Verfügbarkeit, Vertraulichkeit und Integrität im Überblick
Im
windows.developer Magazin 10.2012
ist ein Artikel über die Sicherheit von Windows Azure erschienen.
Links
Hier gibt es weiterführende Informationen zur Entwicklung sicherer Anwendungen für Windows Azure bzw. zur Sicherheit von Windows Azure allgemein:
Windows Phone und die Sicherheit
Im
windows.developer Magazin 9.2012
ist ein Artikel über die sichere Entwicklung von Smartphone-Apps
erschienen.
Den Artikel gibt es auch
online
auf dotnet.de.
Links
NoSQL, No Security?
Wie sieht es mit der Sicherheit von NoSQL aus?
Im
windows.developer Magazin 8.2012
ist ein Artikel über die Sicherheit von NoSQL-Datenbanken
erschienen.
Links
Sicher durch Windows 8
AppContainer, Windows.Security-Namespace und Mitigations im Überblick
Im
windows.developer Magazin 7.2012
ist ein Artikel über die Sicherheitsrelevanten Neuerungen von WinRT
erschienen.
Links
Microsoft Security Development Lifecycle
So sorgt Microsoft für sichere Programme
Im
windows.developer Magazin 4.2012
ist ein Artikel über Microsofts Security Development Lifecycle
erschienen.
Links
Angreifern ein Schnippchen schlagen
Microsofts Störfeuer gegen die Ausnutzung von Schwachstellen
Im
dot.Net Magazin 3.2012
ist ein Artikel über die sog. "Mitigations" erschienen -
Maßnahmen, die die Ausnutzung von Schwachstellen, insbesondere
Pufferüberläufen, wenn schon nicht verhindern, so doch zumindest
erschweren.
Links
Microsoft unter Black Hats: Attack Surface Analyzer und Binscope Binary Analyzer im Einsatz
Im
dot.Net Magazin 7.2011
ist ein Artikel zu Microsofts SDL-Tools Attack Surface Analyzer und Binscope Binary Analyzer erschienen.
Links
Kryptographie ganz praktisch
Im
dot.net magazin 4/2008
ist ein Artikel über den Einsatz der Verschlüsselungsfunktionen in
.NET erschienen.
Links
ZIP-Archiv
der Listings