Home      Themenübersicht / Sitemap      Notizen      Webmaster      
Newsletter Abo

 

35. Newsletter - sicherheitskultur.at - 30.09.2009

von Philipp Schaumann


Hier die aktuellen Meldungen:

1. Arbeitgeber-Bewertungen
----------------------
Fortsetzung zu: Wissen Sie, was über Ihre Firma in Netz 
gesagt wird?
   http://derstandard.at/fs/1252037127780/Bewertungsportale-Wenn-die-Rechnung-im-Netz-steht
Hier einige Bewertungsplatformen:
   http://www.kununu.com/
   http://arbeitgebercheck.at/
   http://www.jobvoting.de/
   http://www.kelzen.com/en/
   http://evaluba.com/


2. Traditionelles Phishing kommt aus der Mode
-----------------------------------
Offenbar haben die Bemühungen in Richtung iTAN und mTAN die
Kriminellen genug behindert, dass sie sich jetzt auf das Infizieren
von Kundenrechnern konzentrieren, das ist ja auch einfach genug.
Hier die "Top 100 der schmutzigsten Webseiten". Bei den genannten Webseiten
genügt bereits der Besuch von einem verwundbaren Rechner, um sich mit
Schadcode zu infizieren. Bei 52 Prozent der Webseiten handle es sich um
eigentlich harmlose Webauftritte, die jedoch von Betrügern missbraucht
wuerden, um Schadcode zu verbreiten.
   http://safeweb.norton.com/dirtysites

Hier die Statistiken zu Phishing:
   http://www.heise.de/security/Bericht-Phishing-kommt-aus-der-Mode--/news/meldung/144444
   http://www-935.ibm.com/services/us/iss/xforce/trendreports/


3. Secret Questions für Passwort-Rücksetzungen
----------------------------------
Die Studie "It’s no secret - Measuring the security and reliability of 
authentication via ‘secret’ questions" (pdf). Wieder geht es um 
diese 'secret questions' zur automatisierten Passwort-Rücksetzung. 
Hotmail berichtet, dass dies nur bei 43% der Kunden gelingt. 
Gleichzeitig zeigen dann Tests im Labor, dass 20% der Teilnehmer 
nach 3-6 Monaten die eigenen Antworten vergessen hat, aber immerhin 
13% der Fragen auf Grund von Wahrscheinlichkeitsbetrachtungen auch 
durch Fremde zu knacken waren und bei 5 möglichen Versuchen zwischen 
17 und 39 der (möglicherweise Ex-)Partner die Fragen beantworten konnten.
    http://research.microsoft.com/pubs/79594/oakland09.pdf
Siehe auch
http://www.computerworld.com/s/article/9115187/Yahoo_Hotmail_Gmail_all_vulnerable_to_Palin_style_password_reset_hack
oder http://tinyurl.com/yccezhm
http://www.nytimes.com/2008/10/05/business/05digi.html?scp=1&sq=%91user%20name%20and%20password%20do%20not%20match%92?&st=cse oder http://tinyurl.com/y9wa3qf
http://redtape.msnbc.com/2008/08/almost-everyone.html


4. Werbung in eigener Sache
-----------------
Am 9. Okt. referiere ich bei der ARS in Wien zum Thema
Awarenesstraining für IT-Security - Wege zur Einhaltung von 
Sicherheitsstandards. Wer sich auf mich beruft erhält
15% Referenten-Rabatt
  http://www.ars.at/detail_list.php?senr=23248


5. How to secure and audit Oracle 10g and 11g
-------------------------------------------------------
Auf dieser Website gibt es kostenlos 1 Kapitel aus dem o.g.
Buch. Dieses Kapitel allein ist auch schon recht interessant.
Ab Seite 22 geht es um Data Pseudonymization oder auch
Data Sanatation für Testzwecke. Der Autor erklärt, was man bereits
mit den kostenlosen Oracle Tools tun kann.
    http://www.guardium.com/index.php/landing/642


6. SANS top Cyber Security Risks
------------------------------------
Solche Listen sind immer mit etwas Vorsicht zu genießen. An der Veröffentlichung
auf 
      http://www.sans.org/top-cyber-security-risks
ist aber das Tutorial
      http://www.sans.org/top-cyber-security-risks/#tutorial
sehr zu empfehlen. Da geht es um einen recht fortgeschrittenen
Angriff, beginnend von einer Drive-By Infektion die zu einem Angriff auf besser
geschützte Firmensysteme führt. 

 


 

Philipp Schaumann, http://sicherheitskultur.at/

Zurück zum Archiv-Überblick

Home

 


Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.