Hakin9 :: Artikel

Firewalls werden von ihren Herstellern als Produkt beworben. Dabei kommen allerhand technische Buzzwords zum Einsatz und dem Käufer wird die absolute, kostengünstigste und sorgenfreie Sicherheit versprochen. Es ist schwierig, die große Anzahl an Produkten miteinander zu vergleichen, da einheitliche Maßstäbe und Begriffe selten sind.

1/2010 PDF-Ausgabe zum kostenlosen Herunterladen

Der Einsatz zentralisierter Monitoringanwendungen ist für den geordneten Betrieb komplexer ITLandschaften inzwischen unerlässlich. Er birgt jedoch grundsätzlich auch einige Gefahren für die Sicherheit der damit überwachten Infrastruktur. Am Beispiel des verbreiteten Open-Source-Projekts Nagios zeigt dieser Artikel, welche Ansatzpunkte es für potentielle Angreifer gibt und wie Administratoren einen wirksamen Schutz dagegen aufbauen können.

Die praktische Anwendung des Metasploit Exploiting Frameworks bietet enorme Möglichkeiten zur Vereinfachung eines Pentests. Dazu gehört unter
anderem der automatisierte Exploitingvorgang durch die Einbindung weiterer Tools, wie auch die Verwendung von Multistage Payloads oder der
automatisierte Sammelvorgang von Informationen nach einem erfolgreichen Exploitingvorgang.

Durch die Skandale von Behörden und der freien Wirtschaft, die in der Weltpresse ihre Runden gezogen haben, hat sich ein politischer Druck aufgebaut, der 2009 endlich so hoch kochte, dass die Volksvertreter den seit Jahren von Fachverbänden und Datenschutzexperten geforderten Änderungen der Gesetzeslage Raum gegeben haben, statt diese Aufgabe in die nächste Legislaturperiode zu schieben, wie es allzu häufig zu beobachten war. Doch die Änderungen werden nicht von allen Fachleuten, die in der Datenschutzpraxis zu hause sind, als brauchbare Verbesserungen zum Schutz der Privatsphäre im Zeitalter globaler Informationszentralisierung interpretiert.

Wer mit Online-Shops oder Kundenportalen zu tun hat – sei es als Entwickler, Qualitätsmanager, Security-Beauftragter oder Tester – kommt zwangsläufig mit dem PCI DSS (Payment Card Industry Data Security Standard) in Berührung. Er gilt für jedes Unternehmen, das Kreditkartendaten verarbeitet, überträgt oder speichert.

Dieser Artikel erklärt wie Kriminelle populäre Angriffe ausführen. Dazu gehören Angriffe auf Clienten in Unternehmensnetzen, sowie die Ausnutzung von SQL-Injection Lücken und auch so genannte Mass Client Drive-By-Infections auf gehackten Webseiten.

“ Whistleblowing“ ist ein Begriff, den es im Grunde seit Menschengedenk gibt, der aber erst um die Jahrtausendwende richtig salonfähig zu werden begann. Überall dort, wo es um Korruption oder Verschwendung in staatlichen oder privatwirtschaftlichen Organisationen geht, wo es um Fragen der Umwelt, des Gesundheits- oder Verbraucherschutzes sowie um die Sicherheit von Produktionsanlagen und gefahrenträchtige Einrichtungen geht, finden wir das Lebensumfeld des Whistleblowers.

Zwischen Februar und März diesen Jahres tauchte in einigen ITSecurity und- Forensic-Blogs eine „Windows FE“ Boot-CD auf – ein auf Vista basierendes bootfähiges Mini-Windows für forensischen Aufgaben (FE = Forensic Environment).

4/2009 PDF-Ausgabe zum kostenlosen Herunterladen

Immer seltener ist das System des Nutzers selbst das Ziel eines Angriffs, sondern vielmehr die darauf eingesetzte Software. Durch Drive-by-Downloads versuchen Angreifer unbemerkt Schadsoftware zu installieren und zielen dabei vorwiegend auf den Internet Explorer ab.

Klicken Sie hier, um die Ausgabe 2/09 herunterzuladen

Im Bereich Penetration Testing gibt es eine Vielzahl an Programmen, die einem dabei helfen, Systeme zu scannen, infiltrieren und kompromittieren. Aber es gibt nur wenige Möglichkeiten, wo man Penetration Testing in einer sicheren Umgebung – und allen voran – legal, üben kann.

Datenrettung und -wiederherstellung sind keinesfalls neue Teilbereiche
der IT, nichtsdestotrotz gefragt wie eh und je. Die Entwicklung neuer
Rekonstruktionsmethoden und Werkzeuge führt zu immer besseren
Chancen, verlorengegangene Daten wieder zum Leben zu erwecken.

Was bereits in den USA als sehr verbreitet und angesehen gilt, rückt
nun auch immer mehr in anderen Ländern in den Vordergrund und
gewinnt kontinuierlich an Dringlichkeit. Die Rede ist von so genannten
„Penetration Tests“. Dieser Artikel soll verdeutlichen, welche Aufgaben
ein Penetration Test erfüllt und nach welchen Richtlinien dieser
durchgeführt werden kann.

Welche Möglichkeiten bietet das Simple Mail Transfer Protokoll (SMTP) und wo liegen die Grenzen? Warum kann man nicht eindeutig vom Header
einer Email auf den Ver fasser schließen und vor allem wieso bekommen wir den Email-Spam nicht endgültig in den Grif f?

Vertrauliche Kommunikation per E-Mail ist durch den Einsatz von Verschlüsselung allein nicht gewährleistet. Der Header einer E-Mail enthält bereits sensible Informationen im Klartext. Remailernetze verschleiern Kommunikationsbeziehungen und ermöglichen neben Anonymität des Absenders vor allem den nicht nachvollziehbaren ustausch von Nachrichten.

Wolfgang Schäuble steht nicht gern im Mit telpunkt. Zu of t wird seine Außendarstellung bemängelt. Zu „knochig“ sei er oder zu ängstlich“. Unlängst hörte man Stimmen in einer etablierten (öf entlich-rechtlichen) Radiosendung, die seine „Angst“ und den daraus esultierenden Argwohn als Resultat des Messerat tentats 1990 auf ihn chlussfolgern wollten. Nichtsdestoweniger dürfte er nationale nteressen – keine persönlichen Interessen – im Sinn gehabt haben, als r die im Volksmund so genannten „Online-Durchsuchungen“ im forcierte.

Unerwünschte E-Mail-Werbung wandelt sich von einem Ärgernis zur ernsthaften Bedrohung für den geschäftlichen E-Mail-Verkehr.

Address Space Layout Randomization (ASLR) ist eine präventive Sicherheitsmaßnahme um das Ausnutzen von Buffer-Overflow-Schwachstellen zu verhindern. Allerdings bietet ASLR lediglich Schutz gegen sehr klassische Angriffstechniken; erfolgreiche Angriffe werden erschwert, aber nicht unmöglich gemacht.

Rituale bieten umfangreiche Möglichkeiten, den IT-Sicherheitslevel zu erhöhen und das Thema IT-Sicherheit präsenter werden zu lassen, ohne eine Abwehrhaltung der Mitarbeiter zu provozieren. Es wäre fahrlässig, diese Chance ungenutzt verstreichen zu lassen.

Schäubles neue Wunderwaffe gegen den Terrorismus – Vom Sinn und Unsinn der Onlinedurchsuchung