Patrick Sauer - Pentesting Blog | Patrick Sauer & Dominik Sauer

Apache2-CipherSuite-Konfiguration für A+ Rating beim Qualys SSL Labs Server Test

21. April 2016 by Patrick Sauer Leave a Comment

Der Blog hat nun ein A+ Rating beim SSL Server Test von Qualys. Die CipherSuite-Konfiguration des Apache2 dazu sieht wie folgt aus: SSLProtocol All -SSLv2 -SSLv3 SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4 SSLHonorCipherOrder On

Übersicht QSA-Unternehmen für PCI DSS Audits in Deutschland

16. April 2016 by Patrick Sauer Leave a Comment

PCI DSS Audits dürfen ausschließlich vom PCI Council zugelassene Unternehmen mit als QSA zertifizierte Auditoren durchführen. Unter [1] kann man sich die komplette Liste ansehen. Filtert man auf Unternehmen, die als „Place of Business“ Deutschland und als Sprache „Deutsch“ anbieten, ergibt sich eine Liste mit 8 Unternehmen: Adsigo AG Internet Security Systems a wholly owned IBM … [Read more…]

Die Grenzen von Antivirus-Software – Gegen Scriptkiddie top, gegen Hacker relativ nutzlos

15. April 2016 by Patrick Sauer 1 Comment

Eigentlich dachte ich, dass Antivirus-Software unverzichtbar in der Abwehr von Schadsoftware ist. Dieser Glaube wurde durch die Bachelorarbeit „Das Schutzpotential von Antivirenprogrammen“ von Dominik Sauer erschüttert. Bei individuell entwickelter Schadsoftware beißt sich Antivirus-Software regelrecht die Zähne aus. Dominik Sauer zeigte in seiner Arbeit sehr anschaulich, dass jeder Hacker in der Lage ist, seinen bösartigen Schadcode mit relativ einfachen Mitteln vor … [Read more…]

Bachelorthesis „Das Schutzpotential von Antivirenprogrammen“ von Dominik Sauer

16. Februar 2016 by Patrick Sauer Leave a Comment

In der Abschlussarbeit „Das Schutzpotential von Antivirenprogrammen“ zur Erlangung des akademischen Grades Bachelor of Science (B.Sc.) zeigt Dominik Sauer die Grenzen aktueller Antivirenprogrammen auf. In seiner Arbeit entwickelte er eine generische Methodik zur Umgehung von Antivirenprogrammen und wies über eine Umfrage in einschlägigen Kreisen diese Fähigkeiten Täterprofilen zu. Im Ergebnis zeigt er, dass Antivirenprogrmme nur … [Read more…]

Übersicht Security-Studiengänge

10. Dezember 2015 by Patrick Sauer 2 Comments

In der „<kes> Zeitschrift für Informationssicherheit“ ist eine Übersicht über Security-Studiengänge erschienen, die ich gerne teilen möchte: Studium Securitatis Aspekte der Informations-Sicherheit (ISi) sind heute glücklicherweise Bestandteil vieler Hochschul- Studiengänge. Sucht man nach Ausbildungen mit einem entsprechenden Schwerpunkt, wird es schon schwieriger. Unser Autor hat fünf Bachelor- und dreizehn Master-Studiengänge identifiziert, die eine vertiefte Security-Ausbildung … [Read more…]

Vortrag im CCC-FFM: Im Sandkasten wird nur gespielt!

28. November 2015 by Patrick Sauer Leave a Comment

Im Dezember steht im CCC FFM ein Vortrag über generische Methoden zur Virenerkennungsumgehung von Dominik Sauer an. Die Aufgabe von Antivirenprogrammen ist es Schadsoftware zu erkennen, rechtzeitig eine Ausführung zu verhindern und sie zu beseitigen. Die Vergangenheit zeigt aber, dass Antivirenprogramme keine hundertprozentige Erkennungsrate besitzen. Aber wie aufwendig ist es für einen Angreifer eine erfolgreiche … [Read more…]

Unterlagen zum Wahlpflichtfach PCI DSS im WS2015/2016

19. November 2015 by Patrick Sauer Leave a Comment

Meine Vorlesungsunterlagen für das Wahlpflichtfach PCI DSS an der Fachhochschule Brandenburg im Wintersemester 2015/2016 können hier heruntergeladen werden: FH-BRB-WPF-WS15-16-PCI-DSS-Unternehmens-Beispiel.pdf FH-BRB-WPF-WS15-16-PCI-DSS-Präsentation.pdf

Aussagekraft und Grenzen von Penetrationstests

25. September 2015 by Patrick Sauer Leave a Comment

Vor kurzem wurde mir in einem Beratungsgespräch die Frage gestellt, ob man nach einem Penetrationstest eine Garantie bekommt, dass eine geprüfte Anwendung absolut sicher ist. Die Frage ist natürlich aus der Sicht eines Kunden verständlich. Wer je nach Aufwand vielleicht mehrere Tausend Euro für eine Sicherheitsanalyse ausgibt, erwartet zumindest unterschwellig, dass alle möglichen Schwachstellen identifiziert … [Read more…]

Vortrag „Business vs. Information Security“ an der Technischen Hochschule Mittelhessen

12. September 2015 by Patrick Sauer 2 Comments

Am 13. Oktober 2015 spreche ich abends an der Technischen Hochschule Mittelhessen im Rahmen der Vortragsreihe des Kolloquiums Wirtschaftsinformatik über das Thema „Business vs. Information Security„: Konfliktpotential, Herausforderungen, Missverständnisse und Lösungsmöglichkeiten. Besucher sind willkommen ;-).

Die Details des IT-Sicherheitsgesetzes

12. Juni 2015 by Patrick Sauer 1 Comment

Der Bundestag verabschiedet das IT-Sicherheitsgesetz. Das Thema ist spannend genug, um die 66-Seiten-PDF selbst zu lesen. Interessant sind die Details, die nicht im einfachen Newsticker stehen: Das Gesetz gilt nur für Betreiber Kritischer Infrastrukturen, z.B. Atomkraftwerke, Energieversorgern, Betreiber von Telekommunikationsnetzen, aber auch bestimmten Diensteanbietern im Sinne des Telemediengesetz Die Betreiber werden verpflichtet, alle kritischen Komponenten angemessen … [Read more…]

Experten aus dem binsec-Universum

Author: Patrick Sauer