Unter truecrypt.sourceforge.net warnt das Projekt vor dem Einsatz der eigenen Software: WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues This page exists only to help migrate existing data encrypted by TrueCrypt. The development of TrueCrypt was ended in 5/2014 after Microsoft terminated support of Windows XP. [..] Die alten Softwareversionen … [Read more…]
Klassisch verschlüsselte Kommunikation über SSL/TLS kann nachträglich mit Zugriff auf den privaten Key vom Zertifikat wieder entschlüsselt werden. Mit dem Netzwerk-Sniffer Wireshark ist das nicht sonderlich schwer und die letzten Jahre hat es die wenigsten gestört. Ein Abzug der privaten Keys setzt gewöhnliche eine Komprimierung des Servers voraus, sodass das Risiko oftmals als nicht sonderlich … [Read more…]
Ich habe mich heute dazu entschlossen dem Open Web Application Security Project (OWASP) beizutreten. Zur Anmeldung, Verwaltung und Zahlung des Eintritts wird auf die Dienstleistung von cvent.com zurückgegriffen. Wie gewöhnlich generiere ich mit Keepass für die Registrierung ein Passwort: Lang + Komplex = Sicher. Man könnte meinen, bei einer Anmeldung bei dem internationalem Projekt für … [Read more…]
Mitgliederversammlung ISACA Ich war heute auf der Mitgliederversammlung vom ISACA Germany Chapter e.V. Ich musste leider aus beruflichen Gründen kurz vor dem Mittagessen die Versammlung verlassen, konnte mir aber zwei Vorträge anhören. Der erste Fachvortrag war von Tobias Glemser, der als OWASP German Chapter Lead das „Open Web Application Security Project“ (OWASP) vorgestellt hat. Inhaltlich … [Read more…]
Amüsantes Video von der RSA Konferenz, in dem Tripwire die Frage stellt: „What is the Most Annoying Security Request You Have Ever Received?“ https://www.youtube.com/watch?v=DDt28QX8jG0
Telegrams Sicherheitskonzept wurde von „Unhandled expression“ analysiert. Ich kann dem Autor in seinem Beitrag nur zustimmen: Telegram ist keine sichere Alternative zu WhatsApp & Co! Telegram besitzt keine Ende-zu-Ende-Verschlüsselung und schützt nicht vor Man-in-the-Middle-Angriffen (MITM). Konzeptionell kann das keine vertrauliche Kommunikation gewährleisten! Zusätzlich werden kryptographische Techniken der Marke „Eigenbau“ benutzt – ein neues Protokoll genannt … [Read more…]
Nachdem Facebook WhatsApp übernommen hat, ist die wesentlich sicherere Alternative Threema aus der Schweiz im Kommen. Interessanterweise waren es nicht die Sicherheitsprobleme in WhatsApp, die Nutzer zum Wechseln brachten, sondern die Übernahme von Facebook. Anscheinend wird die Datenkrake Facebook als schlimmer angesehen wie jedes noch so großes Sicherheitsloch. Wobei Sicherheit und WhatsApp ohnehin nie zueinander … [Read more…]
Heute kam ein Newsletter von Tenable in mein Postfach. Betreff: „83% of Security Pros are concerned about missing threats between vulnerability scans.” Jetzt ernsthaft? Und was denken die restlichen 17% der Sicherheitsexperten in der Umfrage? Dass man mit Schwachstellenscans tatsächlich alle Bedrohungen in der IT-Sicherheit findet? Ja ne, ist klar… Der Betreff hätte heißen müssen … [Read more…]
Wie wird man Spezialist bzw. Experte für IT-Sicherheit? Primär durch Erfahrung und Praxis! Es existiert in Deutschland kein spezieller Ausbildungsberuf, dafür mittlerweile ein paar Studiengänge, die sich diesem Thema angenommen haben. Gab es früher nur weiterbildende Master-Studiengänge in diesem Bereich, starten nun auch Bachelor-Studiengänge. Ich halte spezielle Bachelor-Programme nicht für den richtigen Ansatz. Man kann … [Read more…]
Letztens habe ich wieder(!) ein Gespräch mitbekommen, mit der kreativen Aussage: „Sinngemäß: Und zusätzlich verschlüsseln wir die Daten noch base64.“ Anscheinend gibt es immernoch Informatiker, die die base64-Kodierung als Verschlüsselung ansehen. Nach 1-2 Drinks kann man das im besten Fall noch unter „security by obscurity“ verbuchen. Im nüchternen Zustand möchte man darüber eher nicht nachdenken.
