Einführung Ich wurde nun schon mehrmals gefragt, wie man eigentlich Penetration Tester wird und welche Vorgehensweise ich dazu empfehlen kann. Es gibt weder eine darauf spezialisierte Ausbildung noch ein darauf spezialisierter Studiengang. Ich möchte die Beantwortung der Frage von hinten aufziehen und zuerst die Frage beantworten, was ein guter Penetration Tester denn überhaupt können und … [Read more…]
Aus Marketing-Gründen bin ich z.B. bei LinkedIn selbst nicht besser, trotzdem nervt es so etwas in Fachzeitschriften zu lesen (fiktives Beispiel): Der IT-Sicherheitsexperte Patrick Sauer, MSc, Diplom(FH), CISSP, CISM, OSCP, TISP, CPSSE, DSB-TÜV hat gestern mit seinem Kollegen Max Mustermann, PhD, MSc, CISSP, CISA, CISM und Frau Maxi Musterfrau, CISA, ISMS Auditor/Lead Auditor nach ISO/IEC … [Read more…]
Ein gewöhnliches IPv4-Netzwerk besteht nicht aus sonderlich vielen IP-Adressen. Ein /24er Block besteht aus 256 Adresse. Selbst bei einem wesentlich größerem /22 existieren nur 1.024 Adressen. Auch wenn nicht alle nutzbar sind (Network, Broadcast) bleiben wir einmal bei diesen Zahlen. Relativ am Anfang eines Penetrationstests einer IT-Infrastruktur bzw. einem Netzwerk steht die Identifizierung der Live-Hosts, … [Read more…]
Grundsätzlich müssen alle Unternehmen PCI DSS erfüllen, die Kreditkartendaten bzw. Karteninhaberdaten weiterleiten, speichern oder in irgendeiner anderen Art und Weise verarbeiten. Dies bezieht sich insbesondere auf die vollständige PAN (Personal Account Number), d.h. der Kreditkartennummer sowie auf die weiteren Authentifizierungsdaten des Karteninhabers wie z.B. Prüfsumme und PIN. Die Anforderungen sind grundsätzlich für alle Unternehmen gleich. … [Read more…]
Wir schreiben das Jahr 1999. Die deutsche Regierung möchte ihre nachrichtendienstliche Abwehr aufrüsten: Jetzt soll in IT-Sicherheit investiert werden. Unser Außenministerium, unser Verteidigungsministerium und unser Justizministerium sollen ihre interne Kommunikation auf Sicherheitsmängel prüfen lassen. Und als besondere Maßnahme will der NSA-Ausschuss eine Schreibmaschine zur Spionageabwehr nutzen. Moment. NSA-Ausschuss? Wir sind ja schon in 2014. Macht … [Read more…]
Ich hatte vor einigen Monaten der Studiengangsleitung vom Master-Studiengang Security Management (Fachhochschule Brandendburg) angeboten, ein Wahlpflichtfach über den Payment Card Industry Data Security Standard (PCI DSS) zu halten. Das wurde nun angenommen und so wie es aussieht, soll es im nächsten Wintersemester im Dezember als Blockveranstaltung stattfinden. Ich hoffe, dass es klappt und freue mich … [Read more…]
Liebe Personalagenturen, ich bin Information Security Consultant. Ich bin kein PHP- und/oder Python-Entwickler. Wie viele andere IT-Professionals kann ich Software programmieren bzw. entwickeln. Auch in den Programmiersprachen PHP und Python. Ich bin dennoch kein Entwickler. Trotzdem bekomme ich regelmäßig per E-Mail-Anfragen als Freelancer für PHP bzw. Python, nur weil ich diese in meinem Profil unter … [Read more…]
Ich hatte einen Vortrag für das T.I.S.P Community Meeting 2014 in Berlin eingereicht. Er wurde akzeptiert und ist nun auch im offiziellen Programm. Ich werde über die Schwächen im PCI DSS (Payment Card Industry Data Security Standard) referieren. Am Montag 03.11.14 um 14:00 Uhr auf dem T.I.S.P. Community Meeting 2014. Ich hoffe auf zahlreiche Zuhörer … [Read more…]
Alter Witz, aber leider immernoch wahr: F: Woran erkennt man, dass im Unternehmen ein Password Change durchgesetzt wurde? A: Die Bestellungen von Post-Its steigen plötzlich an.
Unter truecrypt.sourceforge.net warnt das Projekt vor dem Einsatz der eigenen Software: WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues This page exists only to help migrate existing data encrypted by TrueCrypt. The development of TrueCrypt was ended in 5/2014 after Microsoft terminated support of Windows XP. [..] Die alten Softwareversionen … [Read more…]
