Schwachstelle

6 02, 2014

Schwachstellen/Vulnerability Scan mit Nessus und IPv6

von |6. Februar 2014|Pentest|0 Kommentare|

Nessus von Tenable Networks Security ist ein bekannter Vulnerability Scanner / Schwachstellen-Scanner zur Analyse eines Netzwerks auf bekannte Schwachstellen. Nessus kann hierbei nicht nur mit gewöhnlichen IPv4-Adressen umgehen, sondern beherrscht auch IPv6.

Grundsätzlich ist es durch die extrem hohe Anzahl von möglichen Adressen bei IPv6 nicht möglich ganze Netze zu scannen. Aber man kann Nessus Listen von IPv6-Adressen übergeben, die er auf mögliche Schwachstellen analysiert. Dabei sollte man die Option „ping scan“ in der eigenen Scan Policy tunlichst deaktivieren. Sobald diese aktiviert ist, scheint Nessus nicht mehr alle übergebenen IPv6-Adressen zu scannen und/oder bricht vorher ab. Die Ursache für das Verhalten ist mir nicht bekannt, ich hatte die Probleme selbst und wurde vom Support darauf aufmerksam gemacht.

19 08, 2013

Whistle.im ist unsicher

von |19. August 2013|IT-Sicherheit|0 Kommentare|

Whistle.im soll eine sichere Alternative zu WhatsApp sein. Whistle wirbt mit der Aussage: „Sichere Sofortnachrichten. Made in Germany.“ Wir wissen ja auch dank Wirtschaftsminister Rösler, dass wir bei Verschlüsselungstechnologien einen technischen Vorsprung besitzen.

Leider ist es total blöd, dass sich jemand mit Know-How Whistle angesehen hat: Die Jungs vom CCC Hannover. Sofern die beschriebene Analyse dort auch nur einen Funken Wahrheit besitzt, kann man auch gleich weiter WhatsApp benutzen. Whistle ist unsicher und offenbar wurden grundsätzliche Prinzipien beim Einsatz von Verschlüsselungstechnologien nicht beachtet. Ein gutes Beispiel für jeden Anwendungsentwickler, wie man Kryptographie nicht einsetzt. Sicherheit ist etwas anderes. Die Analyse vom CCC ist absolut lesenswert.