Home      Themenübersicht / Sitemap      Notizen      Webmaster      
Newsletter Abo

 

33. Newsletter - sicherheitskultur.at - 31.07.2009

von Philipp Schaumann


Hier die aktuellen Meldungen:

1. Was passiert im Internet
----------------------
Was wird eigentlich über Ihre Firma auf Twitter so
getwittert? Und welche Gerüchte werden in den Blogs
diskutiert?
Hier die Antwort
   http://sicherheitskultur.at/social_engineering.htm#iminternet


2. DNS Security Tutorial
----------------
Recht interessant:
http://www.afnic.fr/data/divers/public/afnic-dns-attacks-security-guide-2009-06.pdf


3. Neu auf der Sicherheitskultur
--------------------------
Erweiterung des Glossars auf 105 Seiten, insbesondere beim
Thema Virtualisierung
    http://sicherheitskultur.at/pdfs/Informationssicherheit.pdf


4. Behavioral Response to Phishing Risk
--------------------------
Ein sehr schönes Beispiel für einen Test der Benutzer im 
Umgang mit Phishing, der aber auch sehr gute Hinweise darauf 
enthält, wie ein Anti-Phishing Training gestaltet werden 
könnte/sollte. Es zeigt sich, dass es viel wichtiger ist, ein 
technisches Verständnis zu vermitteln, als die Risiken zu 
erklären.
   http://www.ecrimeresearch.org/2007/proceedings/p37_downs.pdf


Maximising the Effectiveness of Information Security Awareness"
beschreibt gibt eine ganze Reihe von guten Tipps aus dem 
Bereich der Psychologie.
  http://media.techtarget.com/searchSecurityUK/downloads/RHUL_Stewart_FINALFINAL.pdf


5. Psychologie und Social Engineering
-----------------------------
In England wurde vom UK government's Office of Fair Trading 
und Exeter University's psychology department eine 
umfangreiche Studie zum Thema "Psychology of being scammed" 
erstellt. 
Warum fällt jemand auf einen Betrug herein? Sie finden dabei 
auch einige Erkenntnisse, die überraschend sind. Die Opfer 
von Betrügereien wissen im Schnitt mehr über die betreffende 
Materie als die, die nicht darauf hereinfallen und sie 
haben auch mehr Gehirnschmalz in die Analyse der Sache 
investiert - "gefährliches Halbwissen". 
   http://www.mindhacks.com/blog/2009/05/the_psychology_of_be.html
Hier der Link zum 260 Seiten Bericht 
   http://www.eastscotlandfraudforum.org.uk/documents/exeter%20report.pdf
Dazu auf sicherheitskultur:
   http://sicherheitskultur.at/social_engineering.htm#scammed


6. OWASP EU09 Poland The Bank in the Browser
--------------------------------
Eine umfangreiche Analyse von Schadsoftware im Bankbereich,
sehr gute Graphiken, ab Slide 50 ein Versuch einer formalen
Darstellung der verschiedenen Angriffsmethoden um durch diese 
Analyse die Schwachstellen der Angriffe und damit Verteidungs-
punkte aufzuzeichnen.
   http://www.owasp.org/images/e/e4/AppsecEU09_The_Bank_in_The_Browser_Presentation_v1.1.pdf
Sie behandeln dabei auch die noch nicht oft beschriebene Form
"Human Assisted", bei der "Man in the Browser" in Realtime Daten
weitergibt, die der Bankkunde gerade eingegeben hat, so dass
der Angreifer parallel seine eigene Sitzung aufbauen kann.

Dazu auf sicherheitskultur:
   http://sicherheitskultur.at/man_in_the-middle.htm#browser

 


 

Philipp Schaumann, http://sicherheitskultur.at/

Zurück zum Archiv-Überblick

Home

 


Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.