Home      Themenübersicht / Sitemap      Notizen      Webmaster      
Newsletter Abo

 

38. Newsletter - sicherheitskultur.at - 31.12.2009

von Philipp Schaumann


Hier die aktuellen Meldungen:

1. Reports die interessieren könnten
----------
Measuring the Effectiveness of In-the-Wild Phishing Attacks
   http://www.trusteer.com/webform/measuring-effectiveness-wild-phishing-attacks

KPMG Data Loss Barometer 2009
    http://www.kpmg.at/de/files/data_loss_report_2009.pdf

Verizon Data Breach Investigations Supplemental Report 2009
    http://www.verizonbusiness.com/resources/security/reports/rp_2009-data-breach-investigations-supplemental-report_en_xg.pdf
Interessante "war stories" von realen Angriffen, liest sich wie Kurz-Krimis.

Für Leute die noch nicht so ganz mit den verschiedenen Angriffen gegen Websites vertraut sind, 
sind die neuen OWASP Top 10 sehr zu empfehlen. Das Dokument erkärt die Angriffe sehr schön.
    http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project


2. Neu auf sicherheitskultur.at
-------------------------------
Grauslich: The sinister powers of crowdsourcing -
ein Blick in die (nahe) Zukunft
    http://sicherheitskultur.at/privacy_loss.htm#crowd

Wer ist hier eigentlich irrational, der Benutzer oder der Sicherheitsverantwortliche?
    http://sicherheitskultur.at/Trainingskonzept.htm#ratio

Gedanken zu Internet-Krimininalität
   http://sicherheitskultur.at/notizen_1_09.htm#ecrime

Material zu Windows 7 Sicherheit
    http://sicherheitskultur.at/notizen_1_09.htm#win7

Psychologie, Betrug und Informationssicherheit
     http://sicherheitskultur.at/social_engineering.htm#scammed


3. ISO/IEC 27004:2009  -- Measurement endlich verfügbar
--------------------------------------------------
Der Secorvo Newsletter 12/09 weist daraufhin, dass seit dem 15.12.2009 die 
ISO 27004 verfügbar (leider nicht kostenlos).
  http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=42106
ISO/IEC 27004:2009  Information technology -- Security techniques -- Information security management -- Measurement

Secorvo schreibt:
Darin wird endlich verbindlich geregelt, was unter Messungen und Bewertungen im Rahmen
eines Informationssicherheitsmanagements nach ISO 27001 zu vestehen ist. Neben den 
Erklärungen zu einem sinnvollen Vorgehen bei der Entwicklung von Messungen finden sich 
auch Hinweise zur Verantwortung des Managements sowie zur Durchführung und
Dokumentation von Messen. 
Kostenlos gibt es das Rahmenwerk ISO 27000
   http://standards.iso.org/ittf/PubliclyAvailableStandards/c041933_ISO_IEC_27000_2009.zip


4. Thema Trusted HW key store
------------------------------
Apple hat in der neuen iPhone version so einen drin.
Aber nicht ganz sauber implementiert, wie es scheint. Zitat aus Secorvo Newsletter Nov.09:

...  die Datenverschlüsselung lässt sich umgehen, selbst wenn das iPhone durch einen 
Passcode gesperrt ist, wie Jonathan Zdziarski am 23.07.2009 in einem Interview mit dem 
Magazin Wired beschrieben und in einem tags darauf auf Youtube veröffentlichten Video 
demonstriert hat. Denn wie beim iPhone 2G/3G ist eine "Sicherung" der Benutzerdaten 
auch beim iPhone 3GS ohne Aufspielen einer modifizierten Firmware und ohne Brechen 
der Verschlüsselung möglich. Dazu wird das iPhone von einer RAM-Disk gebootet und 
dann die Partition mit den Benutzerdaten als Raw-Disk-Image gesichert - für die 
Entschlüsselung der Daten sorgt das iPhone dabei automatisch. Anschließend 
lässt sich das Raw-Image unter Mac OS mounten oder mit gängigen
Forensik-Tools analysieren.
     http://www.wired.com/gadgetlab/2009/07/iphone-encryption
 

5. Eigenartig
----------
Das war wohl eine Ente - deswegen gelöscht.


6. Für mich sehr hilfreich
-----------------------
Auf vielen Websites, z.B. techrepublic.com, gibt es keinen gescheiten Print-View. Da kann man sich
jetzt mit einem trickreichen Style-Sheet selbst helfen: Readability.  
Man/frau geht dafür auf
     http://lab.arc90.com/experiments/readability/
und wählt dort aus, wie in Zukunft webpages aussehen sollen und zieht dann einen Button 
in die Favoriten-Toolbar.
Wenn man dann später auf einer Zeitungsseite mit blinkender Werbung und ohne Druckansicht ist, 
dann klickt man auf diesen Favoriten und der alles bis auf den Text (es klappt fast immer).
Wenn zu viel entfernt wurde, kann man mit einem Klick links oben wieder zum Orginal zurück.
Zur Privatsphäre: Für mich sieht es so aus, als ob das alles nur im Browser stattfindet (natürlich 
werden beim Aufruf die IP-Adresse, Browser-Type, Referrer, und die üblichen Infos jedes 
Web-Aufrufs übertragen).  Falls jemand das genauer untersucht bitte ich um Nachricht.

 


 

Philipp Schaumann, http://sicherheitskultur.at/

Zurück zum Archiv-Überblick

Home

 


Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.