Home Themenübersicht / Sitemap Webmaster |
von Philipp Schaumann
Hier die aktuellen Meldungen: 1. Reports die interessieren könnten ---------- Measuring the Effectiveness of In-the-Wild Phishing Attacks http://www.trusteer.com/webform/measuring-effectiveness-wild-phishing-attacks KPMG Data Loss Barometer 2009 http://www.kpmg.at/de/files/data_loss_report_2009.pdf Verizon Data Breach Investigations Supplemental Report 2009 http://www.verizonbusiness.com/resources/security/reports/rp_2009-data-breach-investigations-supplemental-report_en_xg.pdf Interessante "war stories" von realen Angriffen, liest sich wie Kurz-Krimis. Für Leute die noch nicht so ganz mit den verschiedenen Angriffen gegen Websites vertraut sind, sind die neuen OWASP Top 10 sehr zu empfehlen. Das Dokument erkärt die Angriffe sehr schön. http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project 2. Neu auf sicherheitskultur.at ------------------------------- Grauslich: The sinister powers of crowdsourcing - ein Blick in die (nahe) Zukunft http://sicherheitskultur.at/privacy_loss.htm#crowd Wer ist hier eigentlich irrational, der Benutzer oder der Sicherheitsverantwortliche? http://sicherheitskultur.at/Trainingskonzept.htm#ratio Gedanken zu Internet-Krimininalität http://sicherheitskultur.at/notizen_1_09.htm#ecrime Material zu Windows 7 Sicherheit http://sicherheitskultur.at/notizen_1_09.htm#win7 Psychologie, Betrug und Informationssicherheit http://sicherheitskultur.at/social_engineering.htm#scammed 3. ISO/IEC 27004:2009 -- Measurement endlich verfügbar -------------------------------------------------- Der Secorvo Newsletter 12/09 weist daraufhin, dass seit dem 15.12.2009 die ISO 27004 verfügbar (leider nicht kostenlos). http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=42106 ISO/IEC 27004:2009 Information technology -- Security techniques -- Information security management -- Measurement Secorvo schreibt: Darin wird endlich verbindlich geregelt, was unter Messungen und Bewertungen im Rahmen eines Informationssicherheitsmanagements nach ISO 27001 zu vestehen ist. Neben den Erklärungen zu einem sinnvollen Vorgehen bei der Entwicklung von Messungen finden sich auch Hinweise zur Verantwortung des Managements sowie zur Durchführung und Dokumentation von Messen. Kostenlos gibt es das Rahmenwerk ISO 27000 http://standards.iso.org/ittf/PubliclyAvailableStandards/c041933_ISO_IEC_27000_2009.zip 4. Thema Trusted HW key store ------------------------------ Apple hat in der neuen iPhone version so einen drin. Aber nicht ganz sauber implementiert, wie es scheint. Zitat aus Secorvo Newsletter Nov.09: ... die Datenverschlüsselung lässt sich umgehen, selbst wenn das iPhone durch einen Passcode gesperrt ist, wie Jonathan Zdziarski am 23.07.2009 in einem Interview mit dem Magazin Wired beschrieben und in einem tags darauf auf Youtube veröffentlichten Video demonstriert hat. Denn wie beim iPhone 2G/3G ist eine "Sicherung" der Benutzerdaten auch beim iPhone 3GS ohne Aufspielen einer modifizierten Firmware und ohne Brechen der Verschlüsselung möglich. Dazu wird das iPhone von einer RAM-Disk gebootet und dann die Partition mit den Benutzerdaten als Raw-Disk-Image gesichert - für die Entschlüsselung der Daten sorgt das iPhone dabei automatisch. Anschließend lässt sich das Raw-Image unter Mac OS mounten oder mit gängigen Forensik-Tools analysieren. http://www.wired.com/gadgetlab/2009/07/iphone-encryption 5. Eigenartig ---------- Das war wohl eine Ente - deswegen gelöscht. 6. Für mich sehr hilfreich ----------------------- Auf vielen Websites, z.B. techrepublic.com, gibt es keinen gescheiten Print-View. Da kann man sich jetzt mit einem trickreichen Style-Sheet selbst helfen: Readability. Man/frau geht dafür auf http://lab.arc90.com/experiments/readability/ und wählt dort aus, wie in Zukunft webpages aussehen sollen und zieht dann einen Button in die Favoriten-Toolbar. Wenn man dann später auf einer Zeitungsseite mit blinkender Werbung und ohne Druckansicht ist, dann klickt man auf diesen Favoriten und der alles bis auf den Text (es klappt fast immer). Wenn zu viel entfernt wurde, kann man mit einem Klick links oben wieder zum Orginal zurück. Zur Privatsphäre: Für mich sieht es so aus, als ob das alles nur im Browser stattfindet (natürlich werden beim Aufruf die IP-Adresse, Browser-Type, Referrer, und die üblichen Infos jedes Web-Aufrufs übertragen). Falls jemand das genauer untersucht bitte ich um Nachricht.
Philipp Schaumann, http://sicherheitskultur.at/
Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann.
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.