Skip to content

USB-Sicherheit 2016 - Bösartige Sticks im Briefkasten und ein USB-Killer

Außer den bereits vorgestellten Angriffen gab es dieses Jahr (und Ende letzten Jahres) einige weitere interessante Angriffe auf bzw. über USB. Der Einfachheit halber ab jetzt in umgekehrter chronologischer Reihenfolge, der neueste zu erst.

Bösartige(?) USB-Sticks als Hauswurfsendung

"USB-Sicherheit 2016 - Bösartige Sticks im Briefkasten und ein USB-Killer" vollständig lesen

USB-Sicherheit 2016 - Zwei weitere Angriffe

Es geht weiter mit dem Update zu den Angriffen auf und über USB im aktuellen Jahr. Diesmal mit einem über WLAN steuerbaren USB-Device für die schon üblichen Angriffe und einem sich als Netzwerkkarte ausgebenden USB-Device, das in wenigen Sekunden Zugangsdaten ausspähen kann.

Ein bösartiges USB-Device mit WLAN-Steuerung

"USB-Sicherheit 2016 - Zwei weitere Angriffe" vollständig lesen

Microsoft: Ein 0-Day-Exploit und eine 0-Day-Schwachstelle am September Patchday

Am September-Patchday hat Microsoft eine bereits ausgenutzte und eine bereits öffentlich bekannte Schwachstelle behoben. Besondere Gefahr geht von beiden nicht aus, und da auch Adobe keine 0-Days gemeldet hat ist es diesmal ein sehr ruhiger Patchday!

Angriff über Informationsleck im IE

"Microsoft: Ein 0-Day-Exploit und eine 0-Day-Schwachstelle am September Patchday" vollständig lesen

USB-Sicherheit 2016 - Ein Update

Angriffe über USB-Geräte hatte ich ja schon des öfteren im Blog. Der aktuellste Artikel war der Überblick vom 18. Dezember 2014, den ich im Laufe des Jahres 2015 immer mal wieder angepasst habe. Jetzt wird es Zeit für ein Update. Denn Angriffe über USB waren 2016 bereits mehrfach Thema auf den Sicherheitskonferenzen.

BadUSB-Device Marke Eigenbau

"USB-Sicherheit 2016 - Ein Update" vollständig lesen

Kryptographie - Ein Überblick

Die Kryptographie ist ein ein sehr umfangreiches Themengebiet, und obwohl ich mich jetzt seit 30 Artikeln damit befasst habe sind längst nicht alle Themen vorgestellt worden. Aber zumindest die wichtigsten habe ich beschrieben, und damit soll es jetzt auch erst mal genug sein. Dieser Artikel gibt einen Überblick über alle anderen Artikel rund um die Kryptographie, und danach wende ich mich erst mal wieder anderen Themen zu.

Grundlagen und klassische Verfahren

"Kryptographie - Ein Überblick" vollständig lesen

Verfahren der Kryptographie, Teil 18: Angriffe auf Hash-Funktionen

Welche Hashfunktionen unsicher bzw. sicher sind habe ich bereits bei den jeweiligen Beschreibungen der Funktionen MD4, MD5, SHA und SHA-1 (alle unsicher), der SHA-2-Familie (ab 256 Bit Hashlänge, also SHA-256, noch einige Jahre sicher) und SHA-3 (ebenfalls noch einige Jahr sicher) erwähnt. Aber was die Angriffe genau bedeuten wurde bisher nicht erklärt. Jetzt ist es soweit.

Kollisionsangriffe und Preimage-Angriffe

"Verfahren der Kryptographie, Teil 18: Angriffe auf Hash-Funktionen" vollständig lesen

Verfahren der Kryptographie, Teil 17: SHA-3 steht als Alternative und Ersatz bereit

Die Hashfunktionen der SHA-2-Familie sind noch für einige Zeit sicher. Trotzdem gibt es bereits einen Nachfolger: 2007 startete das US-amerikanischen National Institute of Standards and Technology (NIST) einen Wettbewerb zur Suche nach einem neuen kryptographischen Hashalgorithmus als Nachfolger von SHA-2, genannt SHA-3. So ein Wettbewerb hatte sich bereits bei der Suche nach dem DES-Nachfolger AES bewährt, und auch bei der Suche nach SHA-3 war man erfolgreich.

2. November 2007: Das NIST startet eine neue Castingshow

"Verfahren der Kryptographie, Teil 17: SHA-3 steht als Alternative und Ersatz bereit" vollständig lesen

Verfahren der Kryptographie, Teil 16: SHA-2 ist noch für einige Jahre sicher

Nachdem die weit verbreiteten Hashfunktionen MD4, MD5, SHA und SHA-1 alle Schwächen zeigten, war es Zeit für eine neue sichere Hashfunktion. Das war und ist die Funktion SHA-2. Die es so gar nicht gibt, denn es handelt sich um mehrere Funktionen mit unterschiedlichen Ausgabelängen. Die Algorithmen der SHA-2-Familie wurden erstmals in FIPS PUB 180-2 (PDF) (in dem auch SHA-1 definiert ist) spezifiziert. SHA-2 ist zwar ein Nachfolger von SHA-1, aber zumindest bisher noch sicher.

SHA-2 - Eine wachsende Familie

"Verfahren der Kryptographie, Teil 16: SHA-2 ist noch für einige Jahre sicher" vollständig lesen

Drucksache: Entwickler Magazin 5.16 - Angriffsziel WLAN

Im Entwickler Magazin 5.16 ist ein Artikel über Angriffe auf WLANs erschienen.

Drahtlose Kommunikation, nicht nur im WLAN, hat gegenüber kabelgebundener Kommunikation zwei große Nachteile: Jeder kann die Kommunikation belauschen, und jeder kann versuchen, seine eigenen Geräte mit den Kommunikationsteilnehmern zu verbinden.

"Drucksache: Entwickler Magazin 5.16 - Angriffsziel WLAN" vollständig lesen

Ein Patchday ohne 0-Days - da muss irgendwo was schief gelaufen sein

Wow, ich hatte gar nicht gedacht, dass es so was noch gibt: Ein Patchday ganz ohne 0-Day-Exploits oder zumindest -Schwachstellen. Aber weder Microsoft noch Adobe haben am heutigen August-Patchday 0-Days gemeldet.

Adobe hat noch nicht mal ein Update für den Flash Player veröffentlicht, und hat das für diesen Monat auch nicht vor. Obwohl - eigentlich ist das verdächtig, so löchrig wie der bisher war. Aber vielleicht wollen die ja nur im September einen uneinholbaren Rekord behobener Schwachstellen aufstellen und heben sich die Schwachstellen aus diesem Monat dafür auf.

Carsten Eilers

Drucksache: Windows Developer 9.16 - IoT und die Sicherheit

Im Windows Developer 9.16 ist ein Artikel über die Sicherheit im Internet of Things erschienen.

Sie haben die Wahl: Sicherheit oder Geräte des Internet of Things. Beides zusammen geht leider sehr oft nicht. Denn aus Sicherheitssicht ist das nicht das Internet of Things, sondern das Internet of Targets!

"Drucksache: Windows Developer 9.16 - IoT und die Sicherheit" vollständig lesen

Verfahren der Kryptographie, Teil 14: Hashfunktionen - Einführung

Normale Hashfunktionen kennen Sie ja vielleicht schon, zum Beispiel in Form der in Datenbanken genutzten Hash-Tabellen.

Vereinfacht ausgedrückt berechnet eine Hashfunktion
H(M)
aus einer beliebig langen Eingabe
M
(zum Beispiel einem Text) einen möglichst eindeutigen Hashwert
h fester Länge
(zum Beispiel eine Zahlen-Buchstaben-Kombination):
h = H(M).

"Verfahren der Kryptographie, Teil 14: Hashfunktionen - Einführung" vollständig lesen

Verfahren der Kryptographie, Teil 13: Perfect Forward Secrecy

Ein großer Schwachpunkt des bisher beschriebenen Einsatzes von SSL/TLS ist der Austausch des Sitzungsschlüssels bzw. des für seine Berechnung verwendeten Pre-Master-Secrets.

Zeichnet ein Angreifer die gesamte Kommunikation einschließlich des Verbindungsaufbaus auf und gelangt er irgendwann in der Zukunft an den privaten Schlüssel des Webservers, kann er damit den Sitzungsschlüssel entschlüsseln. Und damit dann alle weiteren während der Sitzung übertragenen Daten.

"Verfahren der Kryptographie, Teil 13: Perfect Forward Secrecy" vollständig lesen