Skip to content

Microsofts Security Development Lifecycle - Eine Einführung

Dank des Security Development Lifecycle, kurz SDL, konnte Microsoft die Anzahl an nach der Veröffentlichung einer Software entdeckten Schwachstellen drastisch reduzieren. Und das ist eigentlich gar nicht so schwer, wie es auf den ersten Blick scheint.

Startschuss am 15. Januar 2002

"Microsofts Security Development Lifecycle - Eine Einführung" vollständig lesen

Security Policy - Ein einfaches Beispiel, Teil 3

In dieser Folge geht es mit der Entwicklung der Sicherheitsrichtline (Security Policy) für das Beispielunternehmen "Bratkartoffel KG" weiter.

Die technischen Schutzmaßnahmen für Web-, Application- und Datenbankserver haben wir bereits festgelegt, ebenso die dazu gehörenden organisatorischen Schutzmaßnahmen sowie der Schutz der internen Server. Jetzt ist der Schutz des restlichen Netzes an der Reihe.

Der Rest vom Netz

"Security Policy - Ein einfaches Beispiel, Teil 3" vollständig lesen

Security Policy - Ein einfaches Beispiel, Teil 2

In dieser Folge geht es mit der Entwicklung der Sicherheitsrichtline (Security Policy) für das in der vorherigen Folge vorgestellte Beispielunternehmen weiter.

Die technischen Schutzmaßnahmen für Web-, Application- und Datenbankserver haben wir bereits festgelegt, jetzt sind die dazu gehörenden organisatorischen und administrativen Schutzmaßnahmen an der Reihe.

Die organisatorischen Schutzmaßnahmen

"Security Policy - Ein einfaches Beispiel, Teil 2" vollständig lesen

Firewall, IDS, IPS & Honepot

In dieser Folge geht es um den Zusammenhang zwischen Firewalls, Intrusion Detection- und -Prevention-Systemen und Honeypots. Zum einen, weil ich das Material als Link-Ziel brauche, zum anderen als kleiner Vorgriff auf das nächste Thema: Die Security Policy.

Der erste Schritt beim Schutz eines Netzes besteht darin, keine unnötigen Dienste anzubieten, also vor allem keine nicht benötigten Ports offen zu haben. Beim Schutz eines Gebäudes würde das bedeuten, keine unbenutzten Türen oder Fenster offen stehen zu lassen.

Firewall

"Firewall, IDS, IPS & Honepot" vollständig lesen

Kontaktloses Bezahlen - Die andere Seite des Terminals

Über die vorgestellten Relay-Angriffe sind EMV-Karte zumindest theoretisch gefährdet, und es gab auch schon Angriffe "in the Wild" auf das kontaktbehaftete Chip&PIN-Verfahren. Aber das ist nur die eine Seite der Medaille, bzw. des Point-of-Sale-Terminals. Das kommuniziert ja nicht nur mit der Karte, sondern auch mit dem Kassensystem des Händlers und dem Server des zugehörigen Zahlungsdienstleisters.

Gefahren "hinter" dem PoS-Terminal

"Kontaktloses Bezahlen - Die andere Seite des Terminals" vollständig lesen

Grundlagen der E-Mail-Verschlüsselung

Eine E-Mail ist wie eine Postkarte in der Briefpost: Wer sie sieht, kann sie lesen. Deshalb sollte man eigentlich nur verschlüsselte E-Mails verschicken, die das unbefugte Lesen verhindern. Zusätzlich (aber auch unabhängig davon) kann man seine Mails mit einer digitalen Signatur vor unerkannten Manipulationen schützen und seine Identität als Absender beweisen.

Wie die E-Mail-Verschlüsselung allgemein funktioniert erfahren Sie in meinem Artikel auf entwickler.de!

Carsten Eilers

Kontaktloses Bezahlen: Die Angriffe, Teil 5

Nach den Grundlagen des kontaktlosen Bezahlens mit Smartphone oder NFC-fähiger Zahlkarte habe ich zunächst einige wenig aussichtsreichen Angriffe vorgestellt. Danach ging es um die mehr Erfolg versprechenden Relay-Angriff sowie deren Optimierung. Diese Relay-Angriffe erfordern den koordinierten Einsatz von zwei Kriminellen, aber auch Relay-Angriff ohne 2. Mann sind möglich.

EMV-Karten sind auch nur ein Beispiel

"Kontaktloses Bezahlen: Die Angriffe, Teil 5" vollständig lesen

Mailformate im Überblick: S/MIME

Im Entwickler Magazin 5.2018 habe ich die Grundlagen der E-Mail-Verschlüsselung beschrieben, und im Entwickler Magazin 6.2018 folgt eine Beschreibung der EFAIL-Schwachstellen. Um die besser verstehen zu können ist etwas Hintergrundwissen über die E-Mail-Formate hilfreich. Und da dafür im Magazin kein Platz war, stelle ich sie hier bereit. Nach der Vorstellung von PGP/INLINE und dem kurzen Überblick über MIME im ersten Teil und PGP/MINE im zweiten geht es zum Abschluss in dieser Folge um S/MIME.

S/MIME

"Mailformate im Überblick: S/MIME" vollständig lesen

Mailformate im Überblick: PGP/MIME

Im Entwickler Magazin 5.2018 habe ich die Grundlagen der E-Mail-Verschlüsselung beschrieben, und im Entwickler Magazin 6.2016 folgt eine Beschreibung der EFAIL-Schwachstellen. Um die besser verstehen zu können ist etwas Hintergrundwissen über die E-Mail-Formate hilfreich. Und da dafür im Magazin kein Platz war, stelle ich sie hier bereit. Nach der Vorstellung von PGP/INLINE und dem kurzen Überblick über MIME im ersten Teil geht es in dieser Folge um PGP/MIME.

PGP/MIME

"Mailformate im Überblick: PGP/MIME" vollständig lesen

Mailformate im Überblick: PGP/INLINE

Im Entwickler Magazin 5.2018 habe ich die Grundlagen der E-Mail-Verschlüsselung beschrieben, und im Entwickler Magazin 6.2016 folgt eine Beschreibung der EFAIL-Schwachstellen. Um die besser verstehen zu können ist etwas Hintergrundwissen über die E-Mail-Formate hilfreich. Und da dafür im Magazin kein Platz war, stelle ich sie hier bereit. Los geht es mit PGP/INLINE und der Erklärung von MIME.

PGP/INLINE

"Mailformate im Überblick: PGP/INLINE" vollständig lesen

Kontaktloses Bezahlen: Die Angriffe, Teil 4

Bisher habe ich die Grundlagen des kontaktlosen Bezahlens mit Smartphone oder NFC-fähiger Zahlkarte, einige wenig aussichtsreichen Angriffe sowie die mehr Erfolg versprechenden Relay-Angriff sowie deren Optimierung beschrieben. Nun geht es um einen verbesserten Relay-Angriff, der zum einen die Erfolgschancen erhöht und zum anderen den Aufwand senkt.

Relay-Angriff ohne 2. Mann

"Kontaktloses Bezahlen: Die Angriffe, Teil 4" vollständig lesen