Wenig überraschend: 0-Day-Schwachstellen in Webbrowsern und deren
Veröffentlichung sind das Thema dieses Standpunkt Sicherheit.
IE-0-Day zum ersten, zum zweiten, ...
Eine
0-Day-Schwachstelle
im Internet Explorer. Was für eine Überraschung, sowas hatten
wir ja lange nicht mehr - die
letzte
ist immerhin schon
fast
2 Monate her (veröffentlicht wurde sie am …
Mit ungläubigem Kopfschütteln über amerikanische Verhältnisse reagierten letzte Woche nicht nur Entwickler im "Alten Europa" auf den Länderbericht der International Intellectual Property Association (IIPA), der US-amrikanischen Gralshüter des Urheberrechts. In dem Bericht spricht die IIPA die Empfehlung an die U.S. Trade Representative (USTR) (das offizielle Organ der internationalen Handelspolitik der Vereinigten …
Die CeBIT 2010 ist vorüber, Zeit für den traditionellen Bericht
über einige Neuigkeiten aus dem Bereich der IT-Sicherheit.
Neuigkeiten?
Die gab es dieses Jahr zumindest in der Security-Halle kaum zu sehen. Neu
war vor allem, dass die Messeleitung den Finanzbereich, früher in
einer der 20er-Hallen untergebracht, nun in die Halle 11 …
Am März-Patchday hat Microsoft wie
angekündigt
zwei als wichtig eingestufte Security Bulletins
veröffentlicht,
mit denen insgesamt acht zuvor nicht bekannte Schwachstellen behoben werden.
Außerdem wurde ein
Security Advisory
zu einer 0-Day-Schwachstelle im Internet Explorer
veröffentlicht,
die bereits für gezielte Angriffe ausgenutzt wird.
0-Day-Schwachstelle im IE
Die kritische Schwachstelle zuerst: Microsoft
untersucht …
Sonntagnacht wurden bekanntermaßen zum 82. Mal die begehrten
Oscars verliehen. Und auch hierzulande soll es ja Cineasten geben, die
sich eine ganze Nacht um die Ohren schlagen, um diese mehrstündige
Preisverleihungsarie live mitverfolgen zu können. Zwar nicht der
große Gewinner, aber immerhin mit drei Oscars dekoriert: James
Camerons Avatar. Ich selbst habe den Film noch nicht …
Die Vorratsdatenspeicherung ist tot, es lebe die Vorratsdatenspeicherung!
Dieser Standpunkt Sicherheit dreht sich um die Auswirkungen des Urteils des
Bundesverfassungsgerichts.
Totgesagte leben länger
Bei aller Freude über das erst mal positive Urteil des
Bundesverfassungsgerichts zur Vorratsdatenspeicherung sollte man eines
nicht übersehen, was schon im Titel der Presseerklärung des
Bundesverfassungsgerichts ganz klar ausgesagt wird: …
Von der Webanwendung gelieferte Werte wie Session-Tokens und
Passwörter sollten zufällig gewählt werden und nicht
vorhersagbar sein. Manchmal sieht das aber nur so aus. Diese Folge von
About Security dreht sich daher um die Analyse solcher Werte.
Im folgenden wird immer von Session-Tokens oder kürzer Tokens
ausgegangen, die entsprechenden Schritte gelten aber analog …
Folgt man der medialen Berichterstattung, könnte man glauben, die CeBIT sei immer noch ein wichtiger Termin für die IT-Branche. Auch lassen die Fernsehbilder von Staats- und Regierungschefs, die alljährlich die Hannoveraner Computermesse eröffnen, das Publikum glauben, es handele sich um ein Ereignis von wahrem Weltrang. Wohl nur die Frankfurter Buchmesse und …
Die 21. Olympischen Winterspiele sind Geschichte. Und wie
hätten sie schöner enden können, als mit der
Eishockey-Goldmedaille für die Gastgeber in einem dramatischen
Finale gegen die USA? Rückblickend sind es überwiegend
schöne Spiele gewesen, die wieder mal allerlei Highlights zu
bieten hatten. Und das müssen bei weitem nicht immer Rekorde und
Höchstleistungen sein. So wird für viele …
Der vierte Meilenstein des Eclipse e4-Projekts ist erreicht. Auf dem Weg zur Veröffentlichung des Eclipse 4.0 SDKs Ende Juni 2010 ist das e4-Entwicklerteam wieder einen großen Schritt voran gekommen. Eine deutliche Wirkung auf die Community und die IT-Welt erhofft man sich mit Eclipse 4.0, so e4-Committer Tom Schindl im Interview mit …
Diese Woche dreht sich der Standpunkt Sicherheit um geheim gehaltene
Schwachstellen: Und die behobenen, die Adobe nicht zugeben möchte, und
um nicht behobene, die die Entdecker lieber verkaufen oder anderweitig zu
ihrem Vorteil verwerten möchten.
Adobe und die Veröffentlichung von Schwachstellen
Ich habe mir ja schon vor einiger Zeit angewöhnt, …
Wir stehen an der Schwelle einer neuen Ära: der Ära der "Sozialen Innovation" des Business!
Mit dieser pointierten These beginnt Nigel Fenwick, Analyst bei Forrester, seinen jüngsten Blogeintrag "The New Era Of Social Innovation", in dem er erläutert, warum soziale Innovationsnetzwerke in Zukunft entscheidend für den Erfolg oder Misserfolg eines Produkts/Projekts sein …
Schon beim Entwurf der Webanwendung kann man möglichen DoS-Angriffen
zuvor kommen. Beim sog. "Threat Modelling" wird zwar vor allem auf
Angriffe auf z.B. die Anwendungslogik oder die Authentifizierung geachtet,
aber auch DoS-Angriffe lassen sich zumindest teilweise schon beim Entwurf
verhindern oder zumindest abschwächen.
"Irgendwas irgendwie verbrauchen"
So könnte man eine große Anzahl …
Mit welchen Prinzipien, Vorgehensweisen und Ideen würden Sie Ihren agilen Koffer packen? Was taugt in der agilen Praxis mehr, was weniger? Agile Coach und Consultant Sabine Canditt gibt in ihrer Pecha Kucha Session von der W-JAX 2009 ihre Geheimrezepte preis und erklärt, welche Zutaten in ihrem Koffer (oder besser "Kocher"?) gelandet …
Der Apache HTTP Web Server feiert Geburtstag - bescheiden stößt man im Apache-Blog auf 15 Jahre Webserver-Geschichte an. Dabei muss man es mit dem Understatement garnicht übertreiben, immerhin befeuert das Flagship Project der Foundation heute über 112 Millionen Websites weltweit.
Eigentlich hatte alles klein Angefangen. Zunächst als Fork des NCSA HTTPd Webservers …
Mittlerweile dürfte es jeder mitbekommen haben: In Vancouver
finden derzeit die olympischen Winterspiele statt. Und wie immer liegen
Freud und Leid der Sportler und Zuschauer eng beieinander. Die
öffentlich-rechtlichen Fernsehsender übertragen unendlich
viele Stunden live aus Kanada. Das nervt sicherlich manchen Zuschauer,
andere freut es umso mehr. Gesendet werden alle möglichen
Sportarten. Dazu gehören natürlich Klassiker wie …
Diesmal im Standpunkt Sicherheit: Kommentare zu einem Gesetz, das keiner
mehr will; zu Daten, die so keiner verraten wollte; zur verrutschten Maske
von Google und zu chinesisches Schülern und Studenten als Angreifer
auf Google und weitere Unternehmen.
Karlsruhe, wir haben ein Problem
Politiker haben es wirklich schwer: Da hat man …
Bei der Abwehr von DoS-Angriffen hat jeder Betreiber einer Webanwendung
einen natürlichen Verbündeten: Seinen ISP, der ggf. ebenso unter
dem DoS-Angriff zu leiden hat wie er selbst.
Mitgegangen, mitgefangen
Abgesehen von wenigen Sonderfällen kommt beim Betrieb einer
Webanwendung früher oder später ein Dritter ins Spiel, dessen
Dienstleistungen in Anspruch genommen werden. Z.B. …
Wer kennt nicht folgendes Szenario: Zur Optimierung von Unternehmensprozessen werden externe Consultants ins Unternehmen geholt, die die existierenden Unternehmensstrukturen und Workflows analysieren und Maßnahmen zu deren Verbesserung vorschlagen. Die Maßnahmen werden kurzfristig umgesetzt, bis man wieder an neue Grenzen stößt - oder, was vielleicht noch häufiger anzutreffen ist, bis jeder doch …
Menschen haben ihre Rituale, so ist das nun mal. Besonders
schön ist das beim allmorgendlichen Frühstück anzusehen.
Die einen mögen es eher süß, während die anderen
ohne einen kräftigen Biss ins Wurstbrötchen kaum
lebensfähig sind. Und natürlich wird beim heimischen
Frühstück strikt darauf geachtet, dass Lebensmittel, die
nicht zusammen passen, auch nicht auf dem gleichen Teller landen. …
Adobe behebt eine kritische Schwachstelle, kündigt Updates zur
Behebung kritischer Schwachstellen an - und verrät dabei eine nicht
behobene kritische Schwachstelle. Das erfordert einen kritischen
Standpunkt Sicherheit.
Adobe: Updates veröffentlicht, Updates angekündigt ...
Am Donnerstag
hat
Adobe Updates für den Flash Player und AIR veröffentlicht und
für den Adobe Reader und Acrobat …
Kann SAP als Paradebeispiel für ein Unternehmen gelten, das von einem strikt proprietären Geschäftsmodell zu einer Open-Source-Strategie übergegangen ist? In seinem Blogbeitrag "SAP as a case study for open source engagement" beschreibt Analyst Matthew Aslett von The 451 Group den Weg von SAP zum Engagement in der Open Source Community.
SAP …
Wenn momentan über Sprachenvielfalt diskutiert wird, ist ein Thema ganz "hip": Groovy++. Das Projekt, eine Erweiterung der Groovy-Sprache ist noch sehr neu und wenig bekannt. Wir sprachen mit dem Groovy-Experten Dierk König, der im Rahmen der Java Language Days auf der JAX 2010 auch über Groovy++ reden wird.
JAXenter: Groovy++ als neue …
Bei der Abwehr von DoS-Angriffen muss man in drei Schritten vorgehen:
Erstens muss man Maßnahmen ergreifen, um einen Angriff zu verhindern
oder abzuschwächen, zweitens muss man feststellen können, wenn
ein Angriff erfolgt, und drittens muss man Maßnahmen vorbereiten, die
im Falle eines Angriffs ergriffen werden können, um ihn zu beenden
oder abzuschwächen.
Angriffe vorab verhindern oder abschwächen
DoS-Angriffe …
Am Februar-Patchday hat Microsoft wie
angekündigt
13 Security Bulletins (5 kritische, 7 wichtige, 1 moderates)
veröffentlicht,
mit denen insgesamt 26 Schwachstellen behoben werden. Nur eine davon, die
im Januar bekannt gewordene
Schwachstelle im #GP Trap Handler,
war zuvor öffentlich bekannt.
Außer den Security Bulletins wurde auch ein
Security Advisory
veröffentlicht, mit dem Workarounds …
In den letzten Monaten sind Warentests in Fernsehsendungen
offensichtlich der Renner schlechthin. Programm rauf, Programm runter
wird alles Mögliche und Unmögliche unter die Lupe genommen.
Und was da nicht für aufregende Tests dabei sind. Mittagessen
für 2,50 Euro, Bohrmaschinen, Mietköche, Reiskocher und –
mein absoluter Lieblingsbeitrag – Trolleys. Wer Trolleys nicht kennt:
Das sind die Dinger mit …
Keine Schwachstelle in Samba, eine im Internet Explorer, die Zusammenarbeit
von Google und NSA und die Folgen von Blippy liefern die Themen dieses
Standpunkt Sicherheit.
(K)eine Schwachstelle in Samba
'Kingcope' hat am Freitag ein
Video
auf YouTube
veröffentlicht,
das er 'Samba Remote Zero-Day Exploit' nennt. Konkret handelt es sich um
einen
Directory-Traversal-Angriff:
Samba …
Mr. Joe Hacker möchte vor allem eines: Hacken!
Nichts zu tun haben möchte Joe Hacker mit seinem gestressten, schlecht gelaunten Chef - also strebt er nicht nach einer Management-Position.
Nichts zu tun haben möchte Joe Hacker auch mit Krawatten, grauen Anzügen, langen Meetings, Investoren-Gesprächen - also wird Joe Hacker auch kein selbstständiges Unternehmen …
Facebook schlägt Wellen. Nicht nur wegen verdächtigem Datensammeln und Auswerten, sondern auch mit dem Release von HipHop, dem intern entwickelten und jetzt der Öffentlichkeit vorgestelltem PHP-zu-C++-Cross-Compiler. Wir haben einige Stimmen gesammelt, dabei reicht das Spektrum von vorsichtiger Zurückhaltung bis hin zu ehrlich gelebter Begeisterung.
For now I think this is mainly interesting …
DoS-Angriffe auf den Webserver sind zum einen über entsprechende
Schwachstellen, z.B. einem Pufferüberlauf beim Verarbeiten
überlanger Requests, zum anderen durch eine Überlastung
möglich.
DoS durch Schwachstellen im Webserver
Evtl. vorhandene Schwachstellen sollten im wesentlichen schon in den
vorhergehenden Schritten, insbesondere bei der Suche nach
Pufferüberlauf-Schwachstellen (siehe About Security
#196),
gefunden worden sein. Daher …
