Früher war alles besser. Subjektiv besteht das Internet nur noch aus: Aggressive Werbung: Ton. Videos im Hintergrund. Pop-Up-Werbung auf dem Handy, dessen „X-Button“ kaum zu treffen ist ohne auf die Werbung zu klicken. Adblocker-Schranken, die eine Selbstverteidigung gegen das obige unterbinden. Absolut sinnlose Datenschutz-Cookie-Erklärungen, die jeder im Schlaf wegklickt – primär ein Feature zur Einnahmensteigerung für … [Read more…]
Ich wurde vor ein paar Wochen seitens der HDA bzw. dem CAST e.V angefragt, ob ich am 14.12.2017 beim CAST-Workshop „Forensik und Internetkriminalität“ einen Vortrag zu Pentesting halten möchte. Aber gerne doch! Jetzt steht der Titel fest: Hacker vs. Pentester: Hinterlassen Sie die gleichen Spuren? Böswillige Hacker greifen IT-Systeme an, professionelle Penetrationstester ebenso. Natürlich unterscheidet sich … [Read more…]
Seit 2014 bin ich Dozent bzw. Lehrbeauftragter an der Technischen Hochschule Brandenburg (THB, ehemals Fachhochschule Brandenburg) für das Wahlpflichtfach PCI DSS im Master-Studiengang „Security Management“. Die Blockveranstaltung für dieses Semester ist vorbei und es stehen nur noch die Hausarbeiten an. Ich habe die Zusammenarbeit mit den Studenten dort sehr genossen. Es hat Spaß gemacht sich in … [Read more…]
Die Entschlüsselung von Passwort-Hashes ist unmöglich. Nicht nur sha1 kann man nicht entschlüsseln, sogar die noch ältere Hashfunktion md5 ist absolut unmöglich zu entschlüsseln. Man kann gehashte Passwörter erraten und man kann abhängig von Grad der Robustheit einer Hashfunktion Kollisionen erzeugen. Ich verstehe ja, dass man im normalen Sprachgebrauch und in der Boulevardpresse diesen Sachverhalt nicht korrekt … [Read more…]
Vertrieb, Sales, Akquise.. alles ein hartes Geschäft. Manchmal hat man Glück, meistens hat man Pech. Normales Business. Aber manchmal.. fehlen einem die Worte – Reaktion am Telefon (sinngemäß wiedergegeben): „Also von Pentests halte ich nichts. Die kosten nur Geld. Dann werden irgendwelche Sicherheitslücken gefunden. Und dann muss man noch mehr Geld ausgeben, um die Lücken zu beheben. … [Read more…]
In den letzten beiden Semestern wurde das Wahlpflichtfach Penetration Testing an der Hochschule Darmstadt als reguläre Präsenzveranstaltung von uns angeboten. Nachdem Dominik Sauer im WS 2017/18 die Lehrveranstaltung „Internet-Sicherheit“ und ich „IT-Sicherheitsmanagement und Compliance“ halte, wird es keine Präsenzveranstaltung für „Penetration Testing“ geben. Stattdessen werden wir im Rahmen der Zusammenarbeit mit der binsec GmbH die gesamte … [Read more…]
Überrascht. Schockiert. Entsetzt: Wir haben im WPF Penetration Testing an der HDA einen besonders dreisten Täuschungsversuch erlebt. Der Abschlussbericht für das Praktikum wurde 1:1 von einem Team des Vorjahres kopiert. Also gut, die Namen wurden geändert und Bilder entfernt. Wow. Design ändern? Texte ändern? Wohl zu aufwendig. Ich weiß ja nicht, wie aktuell in der Schule … [Read more…]
Ab dem Wintersemester 2017/18 wird an der Hochschule Darmstadt das Master-Wahlpflichtfach „IT-Sicherheitsmanagement und Compliance“ angeboten und ich freue mich sehr darauf, diese Vorlesung übernehmen zu dürfen. Ehemals wurde das Fach angeboten als „Compliance und IT-Sicherheit“, aber nicht mehr gehalten: https://obs.fbi.h-da.de/mhb/modul.php?nr=41.4828 Ich persönlich fand die Zusammenführung von Compliance-Themen und (technische) IT-Sicherheit als unglücklich: MaRisk und Ethical … [Read more…]
Wie im Wintersemester 2016/17 hatten wir (primär Dominik Sauer) auch im Sommersemester 2017 an der HDA (Hochschule Darmstadt) die Vorlesung Penetration Testing gehalten. Die Evaluation fand relativ früh statt. Die Note zum Gesamteindruck war letztes Semester 1,2 – Link zum Blogeintrag Evaluation WS16/17. Das Ergebnis war zwar damals schon sehr sehr gut, aber man findet … [Read more…]
Der Krypto-Trojaner WannaCry richtet weltweit Schaden an. IT-Sicherheit ist einmal mehr in den alten Medien angelangt. Und ich erwische mich selbst dabei, relativ wenig Interesse dafür zu zeigen: Einmal Tagesthemen gesehen, die Überschrift der FAZ gelesen und einen Heise-Newseintrag überflogen: Die amerikanischen Nachrichtendienste kauften die Zero-Day-Lücke, Microsoft bringt irgendwann einen Patch heraus, einen Monat später … [Read more…]
