Home      Themenübersicht / Sitemap      Notizen      Webmaster      
Newsletter Abo

 

86. Newsletter - sicherheitskultur.at - 31.12.2013

von Philipp Schaumann


Hier die aktuellen Meldungen: 

1. Reports
------------
Kaspersky Security Bulletin 2013. Malware Evolution. Ganz interessant.
Beeindruckend die Dominanz von Java bei den Verwundbarkeiten: 90%, das ist ein stolzer Marktanteil.
     http://www.securelist.com/en/analysis/204792316/Kaspersky_Security_Bulletin_2013_Malware_Evolution
und
   http://www.securelist.com/en/analysis/204792318/Kaspersky_Security_Bulletin_2013_Overall_statistics_for_2013

Trusteer State of Targeted Attacks
  http://www.net-security.org/secworld.php?id=16059

Best of Data Breaches 2013
  http://www.zdnet.com/uk/the-worlds-biggest-data-breaches-and-hacks-of-2013-7000023327/

Malwarebytes  2013 threat report,
  http://www.zdnet.com/the-biggest-malware-security-threats-in-2013-7000023968/

ENISA Threat Landscape Report 2013
  http://www.enisa.europa.eu/media/press-releases/enisa-lists-top-cyber-threats-in-this-year2019s-threat-landscape-report

Fraunhofer prüft die SSL-Prüfung in Android Apps
  http://www.golem.de/news/android-apps-sicherheitsluecke-durch-fehlerhafte-ssl-pruefung-1312-103250.html


2. Blicke in die Zukunft
---------------------------
Szenario 2020, ein sehr guter Ausblick in die nahe Zukunft, nicht nur als Text, 
sondern auch aufwendig mit 9 Science Fiction Episoden zu Cybercrime in 2020.
Produziert von Trendmicro in einer Kooperation mit EC3 von Europol und der 
International Cyber Security Protection Alliance (ICSPA)
    http://sicherheitskultur.at/privacy_glosse.htm#2020

Trendmicro Security Predictions 2014 and beyond
    http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/reports/rpt-trend-micro-security-predictions-for-2014-and-beyond.pdf


3. How the Bitcoin protocol actually works 
----------------------------------------------------
Sehr schön erklärt, er arbeitet sich durch Annahme einer fiktiven
Kryptowährung, die er schrittweise immer mehr verbessert, immer 
näher an das Bitcoin-Protokoll heran. (Jetzt weiß ich endlich, wie das mit dem
Wechselgeld bei Bitcoin funktioniert).
    http://www.michaelnielsen.org/ddi/how-the-bitcoin-protocol-actually-works/
Und über den aktuellen Stand der Mining Techology
    http://dealbook.nytimes.com/2013/12/21/into-the-bitcoin-mines/


4. . . . und andere Tutorials
--------------------------------
Mehr solche Links (aus einem public chat, selbst nicht gelesen):
- Fantastic stick figure guide to AES - surprisingly good
   http://www.moserware.com/2009/09/stick-figure-guide-to-advanced.html
- ArsTechnica's Primer on ECC (also covers RSA) (hatte ich bereits im letzten)
    http://arstechnica.com/security/2013/10/a-relatively-easy-to-understand-primer-on-elliptic-curve-cryptography/
- An Illustrated Guide to Cryptographic Hashes
    http://unixwiz.net/techtips/iguide-crypto-hashes.html
- Textbook: Handbook of Applied Cryptography - free online copy of textbook, gets a bit too "mathy" at times for the layman but still good
    http://cacr.uwaterloo.ca/hac/index.html
- Ross Anderson's Security Engineering.
   http://www.cl.cam.ac.uk/%7Erja14/book.html


5. Zum Thema Passworte
------------------------------
Diese Website ist ganz interessant: 
Es geht um das Erraten (oder Knacken) von Passworten auf der Basis des mehr oder weniger
vorhersagbaren menschlichen Verhaltens. Wenn man auf der Website ein Zeichen eingibt, so sagen sie 
vorher, welche Zeichen vermutlich als nächstes kommen. An den Stellen wo ich keine Random-
Passworte verwenden, liegen sie mit ihren Annahmen gar nicht schlecht.
   https://telepathwords.research.microsoft.com/


6. PCI DSS 3.0
-----------------
Aus den Secorvo News: Es gibt einen neuen PCI-Standard
   https://www.pcisecuritystandards.org/documents/PCI_DSS_v3.pdf
Interessant ist vor allem Summary of Changes mit den Differenzen
    https://www.pcisecuritystandards.org/documents/PCI_DSS_v3_Summary_of_Changes.pdf
und  Change Highlights
    https://www.pcisecuritystandards.org/documents/DSS_and_PA-DSS_Change_Highlights.pdf


7. Visualisierungen
-------------------------
Sehr gutes 5 Minuten Video zur Frage, warum Überwachung jeden angeht
Es werden viele der gängigen Argumente sehr schön widerlegt,
z.B. ich habe nichts zu verbergen oder die Politiker werden das schon unter Kontrolle haben
    http://www.nytimes.com/2013/11/26/opinion/why-care-about-the-nsa.html

Guardian: The Snowden files: facts and figures - video animation
    http://www.theguardian.com/world/video/2013/dec/02/the-snowden-files-guide-surveillance-industry-video

Visualisierung der Entwicklung von Facebook zu immer transparenten Benutzern.
Wichtig dabei: die Kunden von FB sind die Werbeindustrie, die Benutzer sind die Ware
und die Ware wird kontinuierlich verbessert, d.h. transparenter.
    http://mattmckeon.com/facebook-privacy/

Der Standard: Wie wir überwacht werden (sehr schöne Infographik)
Vier Alltagsszenarien zeigen, warum sich Bürger für vom Staat gesammelte Daten interessieren sollten
     http://derstandard.at/1385170392121/Wie-wir-ueberwacht-werden


8. How does the NSA break SSL?
----------------------------------------
Ganz interessante technische Betrachtung.
   http://blog.cryptographyengineering.com/2013/12/how-does-nsa-break-ssl.html


9. Snowden-Systematiken (aus Bruce Schneier Newsletter)
------------------------------------------------------------------------
Links zu Snowden Dokumenten (aktuell):
   https://www.eff.org/nsa-spying/nsadocs

Links zu unterschiedlichen NSA-Dokumenten (aktuell):
   https://www.aclu.org/nsa-documents-released-public-june-2013

Links zu den obigen und anderen Dokumenten:
   http://cryptome.org/2013/11/snowden-tally.htm

2 Variationen auf Wikipedia, unterschiedlich organisiert
   https://en.wikipedia.org/wiki/Global_surveillance_disclosure
   https://de.wikipedia.org/wiki/%C3%9Cberwachungs-_und_Spionageaff%C3%A4re_2013

And this mind map of the NSA leaks is very comprehensive.
   http://www.mindmeister.com/326632176/nsa-css

This is also good:
    http://www.tedgioia.com/nsa_facts.html

Und aus dem vorigen Newsletter: Zeitleiste
   http://www.zdnet.com/nsa-surveillance-leaks-timeline-7000023535/


10. Historisches Interesse
-------------------------------
Die interne Hauszeitschrift der NSA, veraltete Ausgaben jetzt als PDF
    http://www.nsa.gov/public_info/declass/cryptologs.shtml


11. Wilde Geschichte fortgesetzt
---------------------------------------
Ein Professor fordert zu einem Pentest gegen sich selbst auf, hier seine Geschichte
     http://pandodaily.com/2013/10/26/i-challenged-hackers-to-investigate-me-and-what-they-found-out-is-chilling/
Und hier die Story aus Sicht der Angreifer
     https://www.trustwave.com/trustednews/2013/10/a-reporter-asked-us-to-hack-him-heres-how-we-did-it

Noch 3 Folgen der Geschichte, diesmal deutlich technischer (es zeigt, wie kompliziert
das Leben eines Hackers sein kann, aber dass letztendlich keine technischen
Verwundbarkeiten vorlagen, sondern dass sie über Social Engineering hinter alle Absicherungen 
gekommen sind).
   http://blog.spiderlabs.com/2013/10/hacking-a-reporter-writing-malware-for-fun-and-profit-part-1-of-3.html
   http://blog.spiderlabs.com/2013/11/hacking-a-reporter-writing-malware-for-fun-and-profit-part-2-of-3.html
   http://blog.spiderlabs.com/2013/12/hacking-a-reporter-sleepless-nights-outside-a-brooklyn-brownstone-part-3-of-3.html


Humor
--------
Extrem lustiger (wie ich finde) Geek Humor (setzt aber oft intensive Kenntnisse voraus)
    http://geek-and-poke.com/

Nur am Rande der Info-Sicherheit: cicada 3301
http://www.heise.de/security/meldung/Cicada-3301-Die-geheimnisvollste-Schnitzeljagd-des-Internet-2054956.html
http://www.telegraph.co.uk/technology/internet/10468112/The-internet-mystery-that-has-the-world-baffled.html

Für Freunde des VT100: ASCII fluid dynamics 
http://www.youtube.com/watch?v=QMYfkOtYYlg&feature=youtu.be

Fun with public statues 
http://memolition.com/2013/11/18/fun-with-public-statues-13-pictures/



 


 

Philipp Schaumann, http://sicherheitskultur.at/

Zurück zum Archiv-Überblick

Home

 


Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.