Home Themenübersicht / Sitemap Webmaster |
von Philipp Schaumann
Hier die aktuellen Meldungen: 1. PARTNERKA – WHAT IS IT, AND WHY SHOULD YOU CARE? --------------------------------------------------- Eine interessante Studie aus der Welt der black 'SEOs' (search engine optimizers). Das ist der etwas verschönente Begriff für das, was wie die Nachfolge des Email-Spams erscheint: Web 2.0-Spam, 'doorway-sites' u.ä. http://www.sophos.com/sophos/docs/eng/marketing_material/samosseiko-vb2009-paper.pdf 2. Angriffe von Innen --------------------- Die Studie "The Anatomy of an Insider - Bad Guys Don't Always Wear Black" gibt einen recht guten Überblick über das Thema: Angriffe von Innen. Es werden die wichtigsten Gründe und Auslöser für solche Angriffe vorgestellt. Die Papiere, auf die sich der Artikel bezieht sind entweder noch im Internet zu finden oder auch von mir erhältlich. http://blog.imperva.com/2009/09/insider-threat-white-paper-the-anatomy-of-an-insider-bad-guys-dont-always-wear-black.html 3. Interessante Studien -------------------------- Your Botnet is My Botnet: Analysis of a Botnet Takeover Forscher von der Uni haben ein ganzes Botnet für eine Woche übernehmen und von innen studieren können. http://www.cs.ucsb.edu/~vigna/publications/2009_stone-gross_cova_cavallaro_gilbert_szydlowski_kemmerer_kruegel_vigna_Torpig.pdf Recht interessant: Websense Security Labs - State of Internet Security, Q1 – Q2, 2009 http://www.websense.com/site/docs/whitepapers/en/WSL_Q1_Q2_2009_FNL.PDF Sehr spannend: WHAT THE UNDERGROUND WORLD OF “CARDING” REVEALS An Hand der Unterlagen einer umfangreichen Aktion gegen die Mitglieder der sog. Shadowcrew wird das Geschäft mit gestohlenen Kreditkartendaten ausführlich beleuchtet. http://www.usdoj.gov/criminal/cybercrime/DataBreachesArticle.pdf Die Studie School of Phish: A Real-World Evaluation of Anti-Phishing Training gibt Erfahrungsberichte über unterschiedlich gestaltetes Anti-Phishing- Training an der Carnegie Mellon University. http://cups.cs.cmu.edu/soups/2009/proceedings/a3-kumaraguru.pdf So könnte das zukünftige Internet-Banking aussehen: Breaking out of the browser to defend against phishing attacks Es ist das Konzept eines speziellen Browsers, der gar keine Adresszeile mehr hat und automatisch und sicher auf die gewünschte Website findet. Wenn entsprechende Zertifikate fest eingebaut sind, so kann auf diese Weise auch sichergestellt werden, dass kein Man-in-the-Middle sich einmischt. Dieser spezielle Browser müsste auf einem read-only Speicher, z.B. einer CD verteilt werden und akzeptiert keine Plug-ins, d.h. auch keine Man-in-the-Browser. http://www.parc.com/publication/2068/breaking-out-of-the-browser-to-defend-against-phishing-attacks.html Statistiken zum Thema bringt der Halbjahresbericht der Antiphishing Working Group APWG http://www.antiphishing.org/reports/apwg_report_h1_2009.pdf Information Revelation and Privacy in Online Social Networks Eine Studie zum Verhalten der Carnegie Mellon Universtity Studenten in Facebook. 98% nutzt die Privacy-Default-Einstellungen, d.h. sie sind weit offen sichtbar und haben keinen Privatsphäre-Schutz. Die Studie enthält viele interessante Details. http://www.heinz.cmu.edu/~acquisti/papers/privacy-facebook-gross-acquisti.pdf 2008 Worldwide Infrastructure Security Report von ARBOR Networks Es geht um Bedrohungen gegen ISPs, z.B. dass botnets heute bei dDoS-Angriffen bis zu 40 Gbit/s produzieren können http://asert.arbornetworks.com/2008/11/2008-worldwide-infrastructure-security-report/ im X-Force Threat Insight Quarterly 1Q2009 habe ich einiges Neues zu den Gefahren von PHP und ähnlich bequemen Web-programmierumgebungen gelernt. http://www-935.ibm.com/services/us/iss/html/xforce-threat-insight.html Eine recht interessante Zusammenfassung zur Basis-Technologie von Malware wie Infektion durch dropper, P2P command & control Strukturen u.ä.: malware to crimeware: how far have they gone, and how do we catch up? http://staff.washington.edu/dittrich/papers/dittrich-login0809.pdf Und hier noch eine Studie zum Thema "Social Computing: Study on the Use and Impact of Online Social Networking" einer EU-Research Organisation, die eine Reihe von interessanten Aspekten berichtet. http://ftp.jrc.es/EURdoc/JRC48650.pdf Und von der gleichen Autorin THE SOCIAL, LESS SOCIAL AND THE FECUND ASPECTS OF SOCIAL NETWORKING SITES http://miha2.ef.uni-lj.si/cost298/gbc2009-proceedings/papers/P209.pdf 4. Neu auf sicherheitskultur.at ------------------------------- Erweiterungen zu psychologischen und sozio-kulturellen Aspekte von Risiko-Empfindung (Stichwort "Risiko-Konstruktion") http://sicherheitskultur.at/Eisberg_risk.htm#sozio Beispiele zu De-Anonymisierung von anonymen Daten http://sicherheitskultur.at/data_mining.htm#mark Man-in-the-Browser Angriffe in Deutschland http://sicherheitskultur.at/dumme_kunden.htm#otpattack 5. Ein neuer Schäh "Internet Keywords" ----------------------------------- In China hat man sich was Neues einfallen lassen, wie Registrare Geld machen können. Es gibt dazu einiges im Netz. (Na ja, richtig neu ist das Nicht, das gab es schon 2002, aber ich hab das bisher noch nicht gekannt. Jetzt wird es aber genutzt um Geld von den "Langnasen" zu kassieren.) FAQ for Internet Keyword http://www.cnnic.net.cn/html/Dir/2005/09/06/3106.htm In diesem Blog wird das auch diskutiert http://forum.webhostlist.de/forum/domains-dns/89555-internet-keyword-registration.html und die ICAN hat ein Paper dazu (mit einer Definition und Erklärung): http://www.icann.org/en/committees/idn/idn-keyword-paper.htm Humor --------- Ein With für die IT-Profis: http://xkcd.com/327/ Ein Witz den ich von einem Freund gehört habe: "Was macht eigentlich mein Second Life Avatar, wenn ich nicht online bin? Ich trau dem Kerl nicht, kann man sich dagegen versichern, wenn der evtl. Blödsinn anstellt?"
Philipp Schaumann, http://sicherheitskultur.at/
Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann.
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.