2015 war für die Kryptografie ein ereignisreiches Jahr. So bahnt sich zum Beispiel ein neuer Crypto War an, gleichzeitig haben die Nachwirkungen des letzten ihr unschönes Gesicht gezeigt. Da trifft es sich gut, dass es auf dem 32. Chaos Communication Congress eine passende Auswahl an Vorträgen gab.
Weiterlesen auf entwickler.de!
Die Geheimdienste (und nicht nur die) möchten so viel wie möglich über alles und jeden wissen. An alle Daten kommen sie nicht so einfach ran, darum beschränken sie sich oft auf die die eigentlichen Daten beschreibenden Metadaten. Das lässt sich der Öffentlichkeit auch viel besser verkaufen, denn die Metadaten sind ja “völlig harmlos”.
Ich frage mich ja immer, ob die Geheimdienste uns wirklich für so dämlich halten und denken, dass wir ihnen tatsächlich alles glauben, was sie uns auftischen. Wenn die Metadaten so harmlos sind, warum sollten die Geheimdienste sie dann überhaupt haben wollen? Allein schon, dass Geheimdienste, Polizei und Co. offenbar ein solch großes Interesse an Metadaten haben, beweist doch, dass sie diese für äußerst nützlich halten. Grund genug in diesem Artikel unter die Lupe zu nehmen, was Metadaten über unser aller Leben verraten.
Weiterlesen auf entwickler.de!
Im PHP Magazin 4.2016 ist ein Artikel über Angriffe auf Webbrowser und Webclient erschienen.
Auf entwickler.de gibt es eine Leseprobe des Artikels.
“Drucksache: PHP Magazin 4.16 – Webbrowser und Webclient als Angriffsziel” vollständig lesenIm windows.developer 6.16 ist ein Artikel über die Sicherheit von Shims erschienen. Die verwendet Microsoft zum Beispiel im Rahmen der FixIt-Patches, Cyberkriminelle können sie aber für ihre Zwecke missbrauchen.
“Drucksache: Windows Developer 6.16 – Wie sicher sind Shims eigentlich?” vollständig lesenSeit der Veröffentlichung der von Edward Snowden geleakten NSA-Daten wissen wir, dass die NSA und wahrscheinlich auch alle anderen Geheimdienste jede Kommunikation überwachen, die sie in ihre virtuellen Finger bekommen. Aber wie ist es eigentlich um den Bereich Machine-to-Machine bestellt?
Geheimdienstschnüfflern dürfte es ziemlich egal sein, wer kommuniziert: Menschen mit Menschen, Menschen mit Maschinen, oder auch Maschinen mit Maschinen. Erst einmal wird alles gespeichert, was man kriegen kann – vielleicht kann man es ja irgendwann einmal gebrauchen. Da hilft nur eines: Der Schutz jeder Kommunikation, insbesondere natürlich vor dem Ausspähen.
MQTT und CoAP sind zwei der wichtigsten Protokolle in der M2M-Kommunikation. Wie sieht es denn mit deren Sicherheit aus?
Weiterlesen auf entwickler.de!
Cyberkriminelle verbreiten ihre Schadsoftware vor allem über Drive-by-Infektionen. Auf harmlosen Websites eingeschleuster Schadcode nutzt Schwachstellen im Browser oder in dessen Plug-ins aus, um Schadcode auf den Rechnern nichtsahnender Besucher einzuschleusen.
Dabei werden meist mehrere Exploits, also Code zum Ausnutzen von Schwachstellen, nacheinander durchprobiert. So lange, bis der Angriff erfolgreich war oder der Cyberkriminelle sein Pulver verschossen hat. Besonders gefährlich sind dabei die so genannten 0-Day-Exploits, die sich gegen Schwachstellen richten, für die es beim ersten Bekanntwerden der Angriffe noch keine Patches gibt.
Weiterlesen auf entwickler.de!
Was sich im Netz alles so ansammelt, ist ganz schön verräterisch. Allein genommen, aber erst recht, wenn man verschiedene Quellen miteinander verknüpft. Auch mit der Anonymität sieht es dann oft auch nicht besonders gut aus.
Wir hinterlassen ständig Spuren im Netz, die schon einzeln viel über uns und unser Umfeld verraten. Verknüpft man diese Spuren, erfährt man noch viel mehr. Heutzutage verbirgt man so etwas gerne hinter dem Begriff „Big Data“. Das klingt so schön harmlos – in diesen Datenbergen findet man ja bestimmt sowieso nichts. Dabei zeigt doch vor allem Google immer wieder, was man alles finden kann, wenn man weiß, wie man suchen muss.
Weiterlesen auf entwickler.de!
Im Entwickler Magazin 3.16 ist ein Artikel über die aktuellen Angriffe auf SSL und TLS erschienen: DROWN und CacheBleed.
Mal wieder gefährden veraltete Algorithmen die Sicherheit von SSL und TLS, und dazu kommt dann noch ein Hardware-Problem. Und beides innerhalb eines Tages gemeldet. Wenn das so weitergeht stehen SSL/TLS mal wieder turbulente Zeiten bevor.
“Drucksache: Entwickler Magazin 3.16 – Die aktuellen Angriffe auf SSL/TLS” vollständig lesenIm Entwickler Magazin 3.16 ist ein Artikel über Angriffe auf das Domain Name System DNS erschienen.
Das Domain Name System (DNS) ist quasi das Telefonbuch des Internets. Niemand merkt sich IP-Adressen, stattdessen werden Domain-Namen verwendet. Die dann vom Computer in die IP-Adressen der zugehörigen Server umgewandelt werden. Indem beim zuständigen Nameserver nachgefragt wird, welche Adresse denn zu einem bestimmten Namen gehört.
“Drucksache: Entwickler Magazin 3.16 – Angriffsziel DNS” vollständig lesenIm windows.developer 5.16 ist ein Artikel über die Vorträge erschienen, die auf den 32. Chaos Communication Congress (32C3) rund um die neuen und alten Versuche zur Schwächung von Kryptographie gehalten wurden.
Update 2.6.2016:
Der Artikel wurde jetzt auch online
auf entwickler.de
veröffentlicht.
Ende des Updates
2015 war für die Kryptographie ein ereignisreiches Jahr. So bahnt sich zum Beispiel ein neuer Crypto-War an, gleichzeitig haben die Nachwirkungen des letzten ihr unschönes Gesicht gezeigt. Da trifft es sich gut, dass es auf dem 32. Chaos Communication Congress eine passende Auswahl an Vorträgen gab.
“Drucksache: Windows Developer 5.16 – Crypto Wars und ihre Folgen” vollständig lesenIm Magazin Mobile Technology 2.2016 ist ein Artikel über das “Mobile Payment” per NFC mit Wallet-App und Co. erschienen.
Das Bezahlen mit dem Smartphone kommt in Mode. Apple Pay, die Wallet-Apps der Mobilfunk-Betreiber, Google Wallet / Android Pay, dazu die NFC-Sticker und NFC- fähigen Zahlkarten – da tut sich einiges. Da sollten wir wohl mal einen genaueren Blick drauf werfen!
“Drucksache: Mobile Technology 2.2016 – Zahlen Sie bar oder per Smartphone?” vollständig lesenIm PHP Magazin 3.2016 ist ein Artikel über die 2015 außer Logjam und FREAK durchgeführten Angriffe auf und entdeckten Schwachstellen in SSL erschienen.
2015 war mal wieder ein schlechtes Jahr für SSL/TLS. Nicht nur, dass mit Logjam und FREAK die Folgen der Crypto Wars der 1990er Jahre ihr hässliches Gesicht zeigten, es wurden noch weitere Angriffe vorgestellt. Nur das die keinen Namen hatten und damit weniger Aufmerksamkeit erregten. Aber zum Glück gibt es auch gute Nachrichten:
“Drucksache: PHP Magazin 3.16 – SSL – der Stand der Dinge” vollständig lesenWindows 10 ist noch gar nicht richtig bei den Anwendern angekommen, da gibt es schon die ersten Vorträge auf den Sicherheitskonferenzen zu Microsofts neuestem Betriebssystem. Dabei stellt sich die Frage: Ist das neue OS womöglich gefährlich oder wohl eher gefährdet?
Im Artikel über die Sicherheit von C# 6.0 hatte ich bereits darauf hingewiesen, dass Windows 10 und alles, was dazu gehört, bisher zwar nicht auf den Sicherheitskonferenzen behandelt wurde, die ersten Vorträge aber bereits für die Black Hat USA im August angekündigt waren. Schauen wir uns also einmal an, was es an Microsofts neuestem Betriebssystem auszusetzen gibt. Oder gibt es vielleicht sogar was zu loben?
Weiterlesen auf entwickler.de!
Im Entwickler Magazin 2.16 ist ein Artikel über Angriffe auf das bargeldlose Zahlen, sowohl mit der altbekannten Chip&PIN-Karte als auch mit dem Smartphone, erschienen.
Das Bezahlen mit dem Smartphone oder NFC-fähigen Karten statt mit Bargeld oder Bank- oder Kreditkarte mit dem “Chip-und-PIN”-Verfahren ist gerade “in”. Wie überall, wo es um Geld geht, ruft das auch die Kriminellen auf den Plan. Wie sicher sind die neuen Zahlungsmethoden also?
“Drucksache: Entwickler Magazin 2.16 – Bargeldlos => Geld los?!” vollständig lesenIm windows.developer 3.16 ist ein Artikel über die Vorträge erschienen, die auf den 32. Chaos Communication Congress (32C3) zu Windows und Co. gehalten wurden.
“Drucksache: Windows Developer 3.16 – Windows 10 ein Botnet?” vollständig lesen