Beiträge zu “Security”

US Anhörung zu den ansteigenden Cyber Risiken

Ein absolut sehenswertes Video einer Anhörung der US Regierung zu den wachsenden Risiken der letzten Zeit. Ich würde mir wünschen wir würden in Deutschland eine Diskussion auf diesem Niveau mal sehen.

Die Diskussionen sind auf Politiker Niveau. Es sollte auch für Nichttechniker konsumierbar sein.

Ich habe mir vor allem die Aussagen von Bruce Schneier angeschaut den ich schon mehrfach zitiert haben. Um die Dramatik seiner Forderungen richtig einschätzen zu können ist es wichtig zu wissen das Bruce sich in der Vergangenheit sehr kritisch mit den Aktivitäten der NSA auseinander gesetzt hat und auch als einer der Fachleute erste Einblicke in die Snowden Dokumente hatte. Also wahrlich kein Falke des Überwachungsstaates.

Für mich die wichtige Aussagen

Alles ist ein Computer

  • ein Computer der Telefonanrufe macht

  • ein Computer der Dinge kühlt

  • ein oder viele Computer auf Rädern die uns fahren lassen.

Alles Dinge die ein Computer sind bei denen aber nicht die aktuellen Standards im Bereich Sicherheit eingebaut werden. Und viel schlimmer: Sie können selten gepatched oder aktualisiert werden. Noch schlimmer: PC und Telefone werden zumeist alle 3 Jahre getauscht. Wie lange hält ein Kühlschrank / Videorecoder / Auto?

Das war alles fein als es um Spaß und Spiele ging. Jetzt stehen dem richtige physikalische Risiken gegenüber.

Die Software zwischen PC und den IoT ist die gleiche, aber : Es gibt einen Unterschied zwischen “Ihr Spreadsheet stürzt ab und Sie verlieren die Daten “ zu “Ihr Auto stürzt ab und sie verlieren ihr Leben”

Das Internet ist das komplizierteste Ding das die Menschheit je gebaut hat

Kernforderung: der Markt wird das nicht lösen. Wir brauchen staatliche Regulierung. Dabei geht Sicherheit über Überwachung.

Ja, diese Regulierung wird Innovation bremsen. Dies ist aber notwendig bei solchen gefährlichen Gütern. Wir nehmen auch eine gebremste Innovation bei Flugzeugen und medizinischen Geräten in kauf da wir die Risiken scheuen.

12.12.16
Weitere Beiträge zu: Security   IoT   Regulierung  

Besser mal LinkedIn Kennwörter ändern

LinkedIn ist “Opfer” eines Hackerangriffs geworden. Die Kennwörter werden gerade geknackt.

Einfach mal hier schauen ob man betroffen ist und die Kennwörter ändern.

24.5.16
Weitere Beiträge zu: Security   LinkedIn  

Security Updates für kabellose Tastaturen

häää? Ja, richtig gelesen. Mit einfachen Mitteln ist es möglich verschiedene kabellose Tastaturen anzugreifen - und das ganze bis zu 100 Metern

MouseJack is a collection of security vulnerabilities affecting non-Bluetooth wireless mice and keyboards. Spanning seven vendors, these vulnerabilities enable an attacker to type arbitrary commands into a victim’s computer from up to 100 meters away using a $15 USB dongle.

Was es so alles gibt…

3.3.16
Weitere Beiträge zu: Security  

Webanwendungen mit Arachni prüfen

Arachni ist ein Werkzeug mit dem man automatisierte Security Scans für Web Anwendungen durchführen kann. Möchte man eine Web Seite testen geht das ziemlich einfach. Die Schwierigkeit besteht eher in der Analyse der Ergebnisse.

Die Installation ist einfach. Einfach laden und starten :-)

wget http://downloads.arachni-scanner.com/arachni-0.4.1.3-linux-i386.tar.gz
tar xzvf arachni-0.4.1.3-linux-i386.tar.gz
cd arachni-0.4.1.3
arachni -fv http://server.domain.tld --report=afr:outfile=ergebnis.afr

Der Versuchung eines soch einfachen Starts sollte man aber widerstehen den so ein Run kann nach Komplexität der Anwendung Tage dauern. Lieber sollte man sich genau überlegen welche Tests man durchführen sollte und welche URLs man vielleicht nicht testen möchte. Diese kann man in der Kommandozeile durch Exclude Angaben ausschliessen. z.B.

./arachni http://server.domain.tld --report=afr:outfile=ergebnis.afr --modules=*,-WebDav,-common_directories,-backup_files,-ssn,-mixed_resource,-private_ip,-unencrypted_password_forms,-credit_card,-backdoors,-ldapi --user-agent="" --exclude=URL1* --exclude=URL2*

Dann kann es immer noch 2 Tage dauern. Das Ergebniss kann man sich dann in einen schönen HTML Report umwandeln

./arachni --repload=ergebnis.afr --report=html:outfile=/var/www/dev-server/html/ar/ar.html

201302-arachnis.png

11.2.13
Weitere Beiträge zu: Arachni   Security  

Skipfish: ein Security Scanner von Google

201009-skipfish.pngSkipfish ist ein voll automatischer Sicherheitsscanner für Web Anwendungen. Er wird von Google als OpenSource bereitgestellt. Wenn ich die diversen Reviews richtig verstehe sollte er als eins von mehreren Sicherheitswerkzeugen angesehen werden. Also keine eierlegende Wollmichsau aber auf jeden Fall sinnvoll es laufen zu lassen.

Installation ist einfach (hier auf Debian)

apt-get install libidn11-dev libssl-dev
mkdir skipfish
cd skipfish/
wget http://skipfish.googlecode.com/files/skipfish-1.64b.tgz
tar xzvf skipfish-1.64b.tgz
cd skipfish-1.64b
make

In den meisten Anleitungen steht, daß man mit der grossen Wortliste beginnt. Aber Achtung: Skipfish erzeugt richtig viel Last. Den ersten Versuch mit der grossen Wortliste habe ich auf meinem schwachbrüstigen Doppel Pentium3 Entwicklungsrechner nach 3 Tagen abgebrochen.

Ich würde auf jeden Fall erstmal mit einer leeren Wortliste starten. Da kommt schon genug Last zusammen.

touch empty-wordlist
./skipfish -u -o outputdirectory -W empty-wordlist http://your-server.addr.ess

Nach 1,5 Tagen war der Test dann durch. Man bekommt die Ergebnisse als HTML Seite.

201009-skipfish-screen.png

8.9.10
Weitere Beiträge zu: skipfish   Security   ModSecurity   Google  

Dies ist ein privater Blog von Hagen Bauer- berufstätiger Vater, Ehemann, Naturliebhaber, Läufer, Zelter, technikverliebt.


Creative Commons License
This blog is licensed under a Creative Commons License