Nicht nur mein letzter Blog-Eintrag zum OSCP-Kurs ist aus November 2013, ich hatte in letzter Zeit auch nichts mehr dafür gemacht. Zudem lief mein Lab-Zugang im Dezember aus. Jetzt geht’s wieder los: 30-Tage-Verlängerung vom Lab geordert. Ziel: OSCP im März!
Heute kam ein Newsletter von Tenable in mein Postfach. Betreff: „83% of Security Pros are concerned about missing threats between vulnerability scans.” Jetzt ernsthaft? Und was denken die restlichen 17% der Sicherheitsexperten in der Umfrage? Dass man mit Schwachstellenscans tatsächlich alle Bedrohungen in der IT-Sicherheit findet? Ja ne, ist klar… Der Betreff hätte heißen müssen … [Read more…]
Wie wird man Spezialist bzw. Experte für IT-Sicherheit? Primär durch Erfahrung und Praxis! Es existiert in Deutschland kein spezieller Ausbildungsberuf, dafür mittlerweile ein paar Studiengänge, die sich diesem Thema angenommen haben. Gab es früher nur weiterbildende Master-Studiengänge in diesem Bereich, starten nun auch Bachelor-Studiengänge. Ich halte spezielle Bachelor-Programme nicht für den richtigen Ansatz. Man kann … [Read more…]
Nessus von Tenable Networks Security ist ein bekannter Vulnerability Scanner / Schwachstellen-Scanner zur Analyse eines Netzwerks auf bekannte Schwachstellen. Nessus kann hierbei nicht nur mit gewöhnlichen IPv4-Adressen umgehen, sondern beherrscht auch IPv6. Grundsätzlich ist es durch die extrem hohe Anzahl von möglichen Adressen bei IPv6 nicht möglich ganze Netze zu scannen. Aber man kann Nessus … [Read more…]
Ist die Prüfung schwer? Ich möchte die Frage so beantwortet: Wer nach 4-5 Tagen in einem Kurs zum Datenschutzbeauftragten durch die Prüfung zum DSB-TÜV fällt hat entweder wirklich sehr viel Pech oder einfach die letzten Tage so gar nicht aufgepasst. Alleine vom Umfang kann man sie nicht mit den harten Prüfungsbrocken CISSP, CISM & Co … [Read more…]
Ich halte in den nächsten Tagen einen Gastvortrag an der Fachhochschule Potsdam im Rahmen des Kurses „New Ways for Visual Pattern Recognition“ über die Schwierigkeiten und Herausforderungen in der Analyse von Logfiles zur Angriffserkennung. Die Folien habe ich zum Download online gestellt.
Das Problem Von vielen Menschen wird online gerne das gleiche Passwort für unterschiedliche Webseiten genutzt. Oftmals wird dann noch zur Anmeldung immer die gleiche E-Mail-Adresse verwendet. Wird dazu noch ein einfaches Passwort verwendet, erhöht sich die Gefahr eines Missbrauchs enorm. Sobald das Passwort auch nur einmal gestohlen oder veröffentlicht wurde, ist das ein riesiges Problem. … [Read more…]
Letztens habe ich wieder(!) ein Gespräch mitbekommen, mit der kreativen Aussage: „Sinngemäß: Und zusätzlich verschlüsseln wir die Daten noch base64.“ Anscheinend gibt es immernoch Informatiker, die die base64-Kodierung als Verschlüsselung ansehen. Nach 1-2 Drinks kann man das im besten Fall noch unter „security by obscurity“ verbuchen. Im nüchternen Zustand möchte man darüber eher nicht nachdenken.
Mein Zeugnis ist endlich per Post eingetroffen: Download.
Microsofts Cloud Azure wurde von dem Unternehmen Neohapsis PCI DSS zertifiziert, sodass sich Azure grundsätzlich als Cloud für Kreditkartenzahlungsanwendungen verwenden lässt. Die Nutzung einer PCI-Cloud entlässt ein Unternehmen nicht aus der Pflicht sich selbst PCI zertifizieren zu lassen. Vielmehr werden die Anforderungen des PCI DSS zwischen dem Cloud-Anbieter und dem Cloud-Kunden geteilt. Im Gegensatz zu … [Read more…]
