Februar 2014 – Sauer on Information Security | InfoSec-Blog für IT-Profis

Britischer Geheimdienst GCHQ überwacht privaten Webcam-Porn

27. Februar 2014 by Patrick Sauer Leave a Comment

Der britische Geheimdienst GCHQ überwacht private Webcam-Chats, die über Yahoo geführt werden: TheGuardian meldet aufgrund von weiteren Erkenntnissen aus Dokumenten von Edward Snowden, dass der GCHQ über angezapfte Unterseekabel massenhaft Bilddaten von privaten Webcams mitschneidet, speichert analysiert und auswertet. Zwischen drei und elf Prozent der Billdaten sollen hierbei pornographisch sein. Die Verbreitung von privaten Pornos, … [Read more…]

Telegram besitzt ein schlechtes Sicherheitskonzept

26. Februar 2014 by Patrick Sauer Leave a Comment

Telegrams Sicherheitskonzept wurde von „Unhandled expression“ analysiert. Ich kann dem Autor in seinem Beitrag nur zustimmen: Telegram ist keine sichere Alternative zu WhatsApp & Co! Telegram besitzt keine Ende-zu-Ende-Verschlüsselung und schützt nicht vor Man-in-the-Middle-Angriffen (MITM). Konzeptionell kann das keine vertrauliche Kommunikation gewährleisten! Zusätzlich werden kryptographische Techniken der Marke „Eigenbau“ benutzt – ein neues Protokoll genannt … [Read more…]

Der Bitcoin-Hype fällt in die Realität zurück

26. Februar 2014 by Patrick Sauer 2 Comments

Der Hype um die Internet-Währung Bitcoin fällt in die Realität zurück. Nachdem China bereits den Handel mit Bitcoin praktisch untersagt, denken weitere Länder über ein Verbot nach. Da sich Zahlungen mit Bitcoin nicht nachvollziehen und somit auch nicht kontrollieren lassen, kann man eigentlich davon ausgehen, dass auch die Industrieländer langfristig nicht eine digitale Schattenwährung neben … [Read more…]

Erfahrungen zum OSCP: Teil 8 Report fürs Lab

24. Februar 2014 by Patrick Sauer Leave a Comment

Nachdem die meisten Systeme eingenommen sind, wollte ich mit dem Penetration Test Report vom Labor beginnen. Ich hatte bisher meine Dokumentation stichpunkthaft mit Keepnote verfasst. Ich muss zugegeben, ich hätte entweder die Dokumentation parallel zum Hacken im Labor gleich erstellen oder zumindest die Inhalte in Keepnote besser aufbereiten sollen. So muss ich mir wahrscheinlich die … [Read more…]

Der Vergleich: CISSP vs. CISM

22. Februar 2014 by Patrick Sauer 6 Comments

Der CISSP (Certified Information Systems Security Professional) vom Isc² und der CISM (Certified Information Security Manager) von der ISACA gehören zu den weltweit verbreitetsten und anerkanntesten Personenzertifizierungen für Security Professionals. Im Gegensatz zum deutschen T.I.S.P. (TeleTrusT Information Security Professional), entsprechen CISSP und CISM den internationalen Vorgaben für Personenzertifizierungen (ISO/IEC Standard 17024). CISSP und CISM setzten … [Read more…]

Threema ist Dank der WhatsApp-Übernahme von Facebook im Kommen

21. Februar 2014 by Patrick Sauer Leave a Comment

Nachdem Facebook WhatsApp übernommen hat, ist die wesentlich sicherere Alternative Threema aus der Schweiz im Kommen. Interessanterweise waren es nicht die Sicherheitsprobleme in WhatsApp, die Nutzer zum Wechseln brachten, sondern die Übernahme von Facebook. Anscheinend wird die Datenkrake Facebook als schlimmer angesehen wie jedes noch so großes Sicherheitsloch. Wobei Sicherheit und WhatsApp ohnehin nie zueinander … [Read more…]

Erfahrungen zum OSCP: Teil 7 Neustart 2014 nach längerer Pause

20. Februar 2014 by Patrick Sauer Leave a Comment

Nicht nur mein letzter Blog-Eintrag zum OSCP-Kurs ist aus November 2013, ich hatte in letzter Zeit auch nichts mehr dafür gemacht. Zudem lief mein Lab-Zugang im Dezember aus. Jetzt geht’s wieder los: 30-Tage-Verlängerung vom Lab geordert. Ziel: OSCP im März!

Newsletter: 83% der Sicherheitsexperten sind beunruhigt, mit Schwachstellenscans nicht alle Bedrohungen zu finden

18. Februar 2014 by Patrick Sauer Leave a Comment

Heute kam ein Newsletter von Tenable in mein Postfach. Betreff: „83% of Security Pros are concerned about missing threats between vulnerability scans.” Jetzt ernsthaft? Und was denken die restlichen 17% der Sicherheitsexperten in der Umfrage? Dass man mit Schwachstellenscans tatsächlich alle Bedrohungen in der IT-Sicherheit findet? Ja ne, ist klar… Der Betreff hätte heißen müssen … [Read more…]

Wie wird man Spezialist bzw. Experte für IT-Sicherheit?

16. Februar 2014 by Patrick Sauer 2 Comments

Wie wird man Spezialist bzw. Experte für IT-Sicherheit? Primär durch Erfahrung und Praxis! Es existiert in Deutschland kein spezieller Ausbildungsberuf, dafür mittlerweile ein paar Studiengänge, die sich diesem Thema angenommen haben. Gab es früher nur weiterbildende Master-Studiengänge in diesem Bereich, starten nun auch Bachelor-Studiengänge. Ich halte spezielle Bachelor-Programme nicht für den richtigen Ansatz. Man kann … [Read more…]

Schwachstellen/Vulnerability Scan mit Nessus und IPv6

6. Februar 2014 by Patrick Sauer Leave a Comment

Nessus von Tenable Networks Security ist ein bekannter Vulnerability Scanner / Schwachstellen-Scanner zur Analyse eines Netzwerks auf bekannte Schwachstellen. Nessus kann hierbei nicht nur mit gewöhnlichen IPv4-Adressen umgehen, sondern beherrscht auch IPv6. Grundsätzlich ist es durch die extrem hohe Anzahl von möglichen Adressen bei IPv6 nicht möglich ganze Netze zu scannen. Aber man kann Nessus … [Read more…]

IT-Sicherheits-Blog von Dominik & Patrick Sauer

Month: Februar 2014