Patrick Sauer - Pentesting Blog | Patrick Sauer & Dominik Sauer

Ist Google sicherer als „E-Mail Made in Germany“?

14. August 2013 by Patrick Sauer Leave a Comment

Heise Security hat E-Mail Provider auf die Unterstützung der Verschlüsselungsoption „Forward Secrecy“ untersucht. Forward Secrecy sorgt dafür, dass verschlüsselter Datenverkehr in SSL/TLS nachträglich nicht entschlüsselt werden kann, wenn man an den geheimen Schlüssel des Servers kommt. Ohne Forward Secrecy kann nachträglich unter Umständen der gesamte Datenverkehr im Nachhinein entschlüsselt werden. Die Mail-Provider der „E-Mail Made … [Read more…]

IT-Security wird an den Hochschulen zu sehr vernachlässigt

13. August 2013 by Patrick Sauer Leave a Comment

An vielen Universitäten und Fachhochschulen wird das Thema IT-Security in Informatikstudiengängen vernachlässigt. Man kann heute immer noch Informatik oder Wirtschaftsinformatik studieren, ohne eine Vorlesung in IT-Security oder Security Management gehört zu haben. Die Hochschulen verschlafen die steigende Bedrohungslage. Dafür produzieren sie immer noch Studenten, die PHP-Anwendungen schreiben, die keine grundlegende Eingabevalidierung besitzen. Die üblichen Schwachstellen … [Read more…]

Marketing „E-Mail Made in Germany“

12. August 2013 by Patrick Sauer Leave a Comment

Das Projekt „E-Mail Made in Germany“ ist ein schönes Beispiel für gutes Marketing. Die größeren Provider nutzen nun TLS zur verschlüsselten Datenübertrag zwischen einzelnen Mail-Servern. Mich würde interessieren, ob es vorher auch so war oder ob es nun wirklich neu ist. Die Technik an sich ist zumindest gar nicht neu. Und die deutschen Provider sind … [Read more…]

IPv6 ist das Ende vom Black Box Penetration Test

11. August 2013 by Patrick Sauer Leave a Comment

In einem gewöhnlichen IPv4-Netz existieren nicht sehr viele IP-Adressen. Ein paar Hundert. Vielleicht auch ein paar Tausend. Es ist relativ unproblematisch diese kleinen Mengen an möglichen Adressen innerhalb eines Netzwerks auf die Erreichbarkeit von verschiedenen Diensten zu prüfen. Für einen Black Box Penetration Test reicht es also aus, wenn der Penetration Tester nur den Netzbereich … [Read more…]

Was einen guten QSA bzw. PCI-Auditor auszeichnet

10. August 2013 by Patrick Sauer Leave a Comment

Auditoren für PCI DSS werden als QSA (Qualified Security Assessor) bezeichnet. Um QSA zu werden und PCI Audits durchzuführen, müssen die jeweiligen Personen verschiedene Anforderungen erfüllen. Zwingend benötigen sie ausreichend Berufserfahrung und in der Regel eine Zertifizierung als CISSP, CISA oder CISM. Ich bin in den letzten Jahren einigen Auditoren begegnet, ehemaligen und aktiven. Teilweise … [Read more…]

Erfahrungen zum Studiengang Master of Science in Security Management an der FH Brandenburg – Teil 2: 1. Semester

9. August 2013 by Patrick Sauer Leave a Comment

Im ersten Semester gab es folgende Veranstaltungen: Grundlagen sicherer Kommunikation Kryptographie Netzwerksicherheit Recht Grundlagen Security Management Semesterarbeit 1 Als Wahlpflichtfächer habe ich IT-Forensik und Non-Proliferation gehört. Besonders gut gefallen haben mir davon die beiden Wahlpflichtfächer sowie Grundlagen Security Management. Die restlichen Vorlesungen waren nicht schlecht, stachen aber auch nicht hervor. Von allen Vorlesungen war der … [Read more…]

PCI DSS: Wie die Änderung der Benutzerpasswörter alle 90 Tage indirekt regelmäßig umgangen wird.

8. August 2013 by Patrick Sauer Leave a Comment

Der Payment Card Industry Data Security Standard 2.0 schreibt die Änderung von Benutzerpasswörtern alle 90 Tage vor: “8.5.9 Change user passwords at least every 90 days.” Meistens sehe ich in der Praxis folgende Typen von Nutzern: Der Nutzer benutzt einen Password-Safe wie z.B. Keepass und er generiert regelmäßig neue Passwörter. Der Nutzer muss sich das … [Read more…]

Erfahrungen zum Studiengang Master of Science in Security Management an der FH Brandenburg – Teil 1: Einführung und Kosten

4. August 2013 by Patrick Sauer Leave a Comment

Ich stehe kurz vor dem Abschluss Master of Science in Security Management und warte nur noch auf den Termin zur Verteidigung meiner Master-Thesis. Ich möchte in mehreren Blog-Einträgen meine gemachten Erfahrungen und Empfehlungen weitergeben. Den Studiengang Security Management gibt es an der Fachhochschule Brandenburg seit dem Wintersemester 2006/2007 und ist in Deutschland auch 2013 immer … [Read more…]

Der sinnlose Hype um E-Mail-Verschlüsselung gegen PRISM

20. Juli 2013 by Patrick Sauer Leave a Comment

Mittlerweile scheint allgemein bekannt zu sein, dass die NSA in der Lage ist große Datenmengen abzugreifen und zu analysieren. Und nun Achtung: Sie macht das wahrscheinlich auch. Was ist daran jetzt neu? Vorher dachte man es sich oder vermutete es, heute weiß man es mit höherer Wahrscheinlichkeit. Also eigentlich nichts neues. In der Presse ist … [Read more…]

Der Vergleich: CISSP vs. TISP

16. Juli 2013 by Patrick Sauer Leave a Comment

Welche Zertifizierung soll man als IT-Security-Spezialist anstreben: CISSP oder T.I.S.P.? Merkmale vom CISSP: Höhere Anforderungen an die Berufserfahrung, in der Regel 5 Jahre. Die Berufserfahrung und grundlegende fachliche Qualifikation muss von einem anderen CISSP (es gibt Ausnahmen) bestätigt werden International ausgerichtet; die Ausrichtung auf amerikanische Gesetze nimmt oder nahm bereits ab. Beinhaltet Aspekte zur sicheren … [Read more…]

Experten aus dem binsec-Universum

Author: Patrick Sauer