Home Themenübersicht / Sitemap Webmaster |
von Philipp Schaumann
Hier die aktuellen Meldungen: 1. Was passiert im Internet ---------------------- Was wird eigentlich über Ihre Firma auf Twitter so getwittert? Und welche Gerüchte werden in den Blogs diskutiert? Hier die Antwort http://sicherheitskultur.at/social_engineering.htm#iminternet 2. DNS Security Tutorial ---------------- Recht interessant: http://www.afnic.fr/data/divers/public/afnic-dns-attacks-security-guide-2009-06.pdf 3. Neu auf der Sicherheitskultur -------------------------- Erweiterung des Glossars auf 105 Seiten, insbesondere beim Thema Virtualisierung http://sicherheitskultur.at/pdfs/Informationssicherheit.pdf 4. Behavioral Response to Phishing Risk -------------------------- Ein sehr schönes Beispiel für einen Test der Benutzer im Umgang mit Phishing, der aber auch sehr gute Hinweise darauf enthält, wie ein Anti-Phishing Training gestaltet werden könnte/sollte. Es zeigt sich, dass es viel wichtiger ist, ein technisches Verständnis zu vermitteln, als die Risiken zu erklären. http://www.ecrimeresearch.org/2007/proceedings/p37_downs.pdf Maximising the Effectiveness of Information Security Awareness" beschreibt gibt eine ganze Reihe von guten Tipps aus dem Bereich der Psychologie. http://media.techtarget.com/searchSecurityUK/downloads/RHUL_Stewart_FINALFINAL.pdf 5. Psychologie und Social Engineering ----------------------------- In England wurde vom UK government's Office of Fair Trading und Exeter University's psychology department eine umfangreiche Studie zum Thema "Psychology of being scammed" erstellt. Warum fällt jemand auf einen Betrug herein? Sie finden dabei auch einige Erkenntnisse, die überraschend sind. Die Opfer von Betrügereien wissen im Schnitt mehr über die betreffende Materie als die, die nicht darauf hereinfallen und sie haben auch mehr Gehirnschmalz in die Analyse der Sache investiert - "gefährliches Halbwissen". http://www.mindhacks.com/blog/2009/05/the_psychology_of_be.html Hier der Link zum 260 Seiten Bericht http://www.eastscotlandfraudforum.org.uk/documents/exeter%20report.pdf Dazu auf sicherheitskultur: http://sicherheitskultur.at/social_engineering.htm#scammed 6. OWASP EU09 Poland The Bank in the Browser -------------------------------- Eine umfangreiche Analyse von Schadsoftware im Bankbereich, sehr gute Graphiken, ab Slide 50 ein Versuch einer formalen Darstellung der verschiedenen Angriffsmethoden um durch diese Analyse die Schwachstellen der Angriffe und damit Verteidungs- punkte aufzuzeichnen. http://www.owasp.org/images/e/e4/AppsecEU09_The_Bank_in_The_Browser_Presentation_v1.1.pdf Sie behandeln dabei auch die noch nicht oft beschriebene Form "Human Assisted", bei der "Man in the Browser" in Realtime Daten weitergibt, die der Bankkunde gerade eingegeben hat, so dass der Angreifer parallel seine eigene Sitzung aufbauen kann. Dazu auf sicherheitskultur: http://sicherheitskultur.at/man_in_the-middle.htm#browser
Philipp Schaumann, http://sicherheitskultur.at/
Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann.
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.