| Home Themenübersicht / Sitemap Webmaster |
von Philipp Schaumann
Hier die aktuellen Meldungen:
1. Reports die interessieren könnten
----------
Measuring the Effectiveness of In-the-Wild Phishing Attacks
http://www.trusteer.com/webform/measuring-effectiveness-wild-phishing-attacks
KPMG Data Loss Barometer 2009
http://www.kpmg.at/de/files/data_loss_report_2009.pdf
Verizon Data Breach Investigations Supplemental Report 2009
http://www.verizonbusiness.com/resources/security/reports/rp_2009-data-breach-investigations-supplemental-report_en_xg.pdf
Interessante "war stories" von realen Angriffen, liest sich wie Kurz-Krimis.
Für Leute die noch nicht so ganz mit den verschiedenen Angriffen gegen Websites vertraut sind,
sind die neuen OWASP Top 10 sehr zu empfehlen. Das Dokument erkärt die Angriffe sehr schön.
http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
2. Neu auf sicherheitskultur.at
-------------------------------
Grauslich: The sinister powers of crowdsourcing -
ein Blick in die (nahe) Zukunft
http://sicherheitskultur.at/privacy_loss.htm#crowd
Wer ist hier eigentlich irrational, der Benutzer oder der Sicherheitsverantwortliche?
http://sicherheitskultur.at/Trainingskonzept.htm#ratio
Gedanken zu Internet-Krimininalität
http://sicherheitskultur.at/notizen_1_09.htm#ecrime
Material zu Windows 7 Sicherheit
http://sicherheitskultur.at/notizen_1_09.htm#win7
Psychologie, Betrug und Informationssicherheit
http://sicherheitskultur.at/social_engineering.htm#scammed
3. ISO/IEC 27004:2009 -- Measurement endlich verfügbar
--------------------------------------------------
Der Secorvo Newsletter 12/09 weist daraufhin, dass seit dem 15.12.2009 die
ISO 27004 verfügbar (leider nicht kostenlos).
http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=42106
ISO/IEC 27004:2009 Information technology -- Security techniques -- Information security management -- Measurement
Secorvo schreibt:
Darin wird endlich verbindlich geregelt, was unter Messungen und Bewertungen im Rahmen
eines Informationssicherheitsmanagements nach ISO 27001 zu vestehen ist. Neben den
Erklärungen zu einem sinnvollen Vorgehen bei der Entwicklung von Messungen finden sich
auch Hinweise zur Verantwortung des Managements sowie zur Durchführung und
Dokumentation von Messen.
Kostenlos gibt es das Rahmenwerk ISO 27000
http://standards.iso.org/ittf/PubliclyAvailableStandards/c041933_ISO_IEC_27000_2009.zip
4. Thema Trusted HW key store
------------------------------
Apple hat in der neuen iPhone version so einen drin.
Aber nicht ganz sauber implementiert, wie es scheint. Zitat aus Secorvo Newsletter Nov.09:
... die Datenverschlüsselung lässt sich umgehen, selbst wenn das iPhone durch einen
Passcode gesperrt ist, wie Jonathan Zdziarski am 23.07.2009 in einem Interview mit dem
Magazin Wired beschrieben und in einem tags darauf auf Youtube veröffentlichten Video
demonstriert hat. Denn wie beim iPhone 2G/3G ist eine "Sicherung" der Benutzerdaten
auch beim iPhone 3GS ohne Aufspielen einer modifizierten Firmware und ohne Brechen
der Verschlüsselung möglich. Dazu wird das iPhone von einer RAM-Disk gebootet und
dann die Partition mit den Benutzerdaten als Raw-Disk-Image gesichert - für die
Entschlüsselung der Daten sorgt das iPhone dabei automatisch. Anschließend
lässt sich das Raw-Image unter Mac OS mounten oder mit gängigen
Forensik-Tools analysieren.
http://www.wired.com/gadgetlab/2009/07/iphone-encryption
5. Eigenartig
----------
Das war wohl eine Ente - deswegen gelöscht.
6. Für mich sehr hilfreich
-----------------------
Auf vielen Websites, z.B. techrepublic.com, gibt es keinen gescheiten Print-View. Da kann man sich
jetzt mit einem trickreichen Style-Sheet selbst helfen: Readability.
Man/frau geht dafür auf
http://lab.arc90.com/experiments/readability/
und wählt dort aus, wie in Zukunft webpages aussehen sollen und zieht dann einen Button
in die Favoriten-Toolbar.
Wenn man dann später auf einer Zeitungsseite mit blinkender Werbung und ohne Druckansicht ist,
dann klickt man auf diesen Favoriten und der alles bis auf den Text (es klappt fast immer).
Wenn zu viel entfernt wurde, kann man mit einem Klick links oben wieder zum Orginal zurück.
Zur Privatsphäre: Für mich sieht es so aus, als ob das alles nur im Browser stattfindet (natürlich
werden beim Aufruf die IP-Adresse, Browser-Type, Referrer, und die üblichen Infos jedes
Web-Aufrufs übertragen). Falls jemand das genauer untersucht bitte ich um Nachricht.
Philipp Schaumann, http://sicherheitskultur.at/
Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. 
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.
Zurück zum Archiv-Überblick