Security

Glitch: Cybercybercyber

Written by  on Februar 11, 2024

Ist halt wie das Wetter. Da kann man nichts machen.
ORF: Cyberattacken besonders häufig in Ferien

Schuld bei Opfern gering

Denn Belegschaften sind an diesen Tagen häufig ausgedünnt und viele Menschen auf Urlaub. Da bestehe „sicher ein Zusammenhang“ mit den Cyberangriffen, sagt Kieseberg. Bei den Cyberangriffen auf Korneuburg und die Therme Laa könne man die Schuld allerdings nicht bei den Opfern – etwa etwaiger Sicherheitslücken oder Unachtsamkeit – suchen, sagt Kieseberg. Eine hundertprozentige Sicherheit vor Cyberattacken gebe es nicht.

Glitch: Flughafen WLAN

Written by  on Februar 9, 2024

Wir haben doch Datenschutz. Und Verschlüsselung. Da sind Warnungen vor dem bösen Flughafen WLAN doch sicher übertrieben?
Futurezone: Scherz von Teenager führte zu Kampfjet-Einsatz

In einer Snapchat-Gruppe schrieb der britische Jugendliche im Juli 2022: „Unterwegs, das Flugzeug zu sprengen (Ich in ein Mitglied der Taliban)“. …
Die Nachricht wurde kurz vor seinem Abflug vom Londoner Flughafen Gatwick gesendet. Es wird vermutet, dass er mit dem Flughafen-Wi-Fi verbunden war und die Nachricht so aufgegriffen wurde.

Glitch: Cloud Security

Written by  on September 3, 2021

Einen Ausweg aus diesen Sicherheitsproblemen sieht überwiegende Mehrheit der Befragten darin, Security ganz oder teilweise in die Cloud auszulagern.

heise: Umfrage: Mitarbeiter tricksen im Homeoffice oft Sicherheitsmaßnahmen aus

Zitat des Tages

Written by  on Mai 17, 2020

Zum Beispiel ist es prinzipiell nicht optimal, Banking-App und TAN-App auf demselben Smartphone zu nutzen oder gleich beide Funktionen in einer App zu bündeln. Dadurch werden die Faktoren aus den Kategorien „Wissen“ und „Besitz“ gekoppelt und Kriminelle müssen nur eine App beziehungsweise ein Gerät kompromittieren, um ihr Ziel zu erreichen.

c’t 2020, Heft 11, S71 – Teil der Antwort auf die Frage „Sind alle TAN-Verfahren gleich sicher?“

Security vs. Compliance

Written by  on März 11, 2020

Bei Computer-Security gibt es ja zwei Ansätze. Einmal erforscht man die Ursache und tut was gegen die. Das nenne ich mal Security. Oder man einigt sich in Sesselfurzer-Kommittees auf mehr oder weniger sinnlose Checklisten und misst dann irgendwelche Metriken und optimiert so am Ende an der zweiten Ableitung eines unrelevanten Randdetails herum. Das nenne ich mal Compliance.

Fefe

IT-SECX 2019

Written by  on November 11, 2019

Gedanken und Notizen zur diesjährigen IT-SecX der FH St. Pölten.

„24 Hours Inside SOC“ – Ein Blick hinter die Kulissen

Wie wird ein Security Operations Center angegangen. Häufig, von unten nach oben, also Technik, Menschen, Prozesse statt umgekehrt:

Wie soll man festellen wer der Angreifer ist?

Wie üblich: Zuerst war es immer ein False Positive….

Vertrauen ist gut, Pentests sind besser: Sicherheitsprobleme in Active Directory Forests

Eine gute Darstellung davon, wie man aus einer (Sub)Domain Zugriffe bis zum Administrator in der übergeordneten Domain im Forest bekommt.

No „Black Out“ – Nationale Maßnahmen zur Absicherung intelligenter Messsysteme

Ein guter Vortrag über die in Österreich getroffenen Sicherheitsmaßnahmen für Smart Meter. Die Hoffnung lebt, dass das bei uns besser umgesetzt wird, wie in Deutschland und anderen Ländern!

Warum Notfallvorsorge „wertlos“ ist!





SLA … Suche Langfristige Alternative
Konsequenzenmanagement

Hunting for Remote Code Execution in your (Lirbre) Office Suite

Sehr interessant, wie man (Libre und teilweise Open)Office mit Makros exploiten kann.

cat /var/log/news_2019

Wieder lustiges Programm, diesmal aus der ersten Reihe

Das ganze Programm gibt’s unter itsecx.fhstp.ac.at/programm-2019.

IT-SECX 2018

Written by  on November 20, 2018

Gedanken und Notizen zur diesjährigen IT-SecX der FH St. Pölten.
Für mich persönlich hat sich die Veranstaltung stark verändert. Früher waren in erster Linie die Vorträge interessant. Die Vorträge sind nicht schlechter geworden, aber networken und tratschen steht mittlerweile im Vordergrund. Und ich wurde wieder für meinen Vortrag von vor 10 Jahren erkannt.

Wenn ein CVSS Score von 10.0 ein leeres Bankkonto bedeuten kann

Florian Bogner beschreibt exklusiv seine Findings. Mittlerweile auch in seinem Blog verfügbar. 0-Day in ELBA5’s Network Installation: Overtaking your company’s bank account

Internet of Dongs–a long way to a vibrant future

Auch Sexspielzeug ist angreifbar. Damit konnte ja niemand rechnen!

Alexa Top 1 Million Security – Hacking the Big Ones

Schöne Statistiken, welche Probleme bei den „großen“ Webseiten gefunden werden und was man damit alles anstellen könnte.

Blockchain: You’re Doing It Wrong

Nicht mit Zwang unter allen Umständen auf die Blockchain setzen. Für viele (die Meisten) Anwendungen ist es es einfach das falsche Werkzeug.

Quantumcomputer und KI – Moderne Informatik und Auswirkungen auf die Sicherheit der Zukunft in der Industrie 4.0

Für mich leider einer der schwächeren Vorträge die ich besucht habe. Vielleicht auch nur weil ich mir eine Antwort erhofft habe, ab wann wir denn jetzt genau Post-Quanten-Krypto brauchen werden

cat /var/log/news_2018

Rückblick und Ausblick. Sehr unterhaltsam, ganz ähnlich der Fnord News Show. Um letztes Jahr mit den Cyber-Protect-Aufklebern zu übertreffen gibt’s am Ende homöopathisch verdünnten Elektrosmog. Für manche IT (Security) Probleme wäre aber ein Exorzist besser!

Das ganze Programm gibt’s unter itsecx.fhstp.ac.at/programm-2018 und Infos zu den Vorträgen, teilweise mit Video, unter itsecx.fhstp.ac.at/vortraege-2018.

IT-SECX 2017

Written by  on November 14, 2017

Gedanken und Notizen zur diesjährigen IT-SecX der FH St. Pölten.
Die Veranstaltung wächst noch immer. Im Vergleich zu früher, wird professioneller gearbeitet. Die Zeitpläne funktionieren. Es gibt jetzt auch mehr Firmen die ausstellen und Werbegeschenke verteilen und um die Aufmerksamkeit von Studenten buhlen.
Mein persönliches Highlight: Ich wurde wiedererkannt wegen meinem Vortrag über gehackte Webserver 2010!

Ich habe mir diese Themen angeschaut:

Keynote: „The times, they are a-changing“

Thomas Schreck
Hätte nicht unbedingt auf Englisch sein müssen, etwas zu schnell gesprochen und über ein paar THs der englischen Sprache gestolpert. Der Vortragende hat einen Cybär mit auf die Bühne gebracht. Trotzdem gut präsentiert, mit einem Überblick über vergangene große Sicherheitsvorfälle. War auf die (jungen) Studenten im Publikum ausgelegt. Ich komme mir alt vor, wegen Themen wie Loveletter aus dem Jahr 2000. „Most of you won’t remember!“

Automate the hard things,
let the people do the challenging things.

IPv6-Scanning – 350 Billiarden Mal zum Mars und wieder zurück

Kathrin Hufnagl
Durchaus interessant welche Tools es gibt um sich einen IPv6 Adressbereich anzusehen. Auf Wörterbuch-Attacken auf Adressen wäre ich nicht gekommen.

“I Have No Idea What I’m Doing” – On the Usability of Deploying HTTPS

Wilfried Mayer
Eine Untersuchung aus der prä-Let’s Encrypt Zeit. Problem ist, dass Let’s Encrypt nur den ersten Teil abdeckt, also ein Zertifikat zu bekommen. Das folgende Hardening ist trotzdem eine Herausforderung. Es ist schwierig sich bei den ganzen Empfehlungen im Internet zurechtzufinden und zu beurteilen, was davon noch aktuell ist. Beispiel HKPK soll nicht mehr verwendet werden, aber auch anderes wie Cipher-Suits unterliegt laufenden Veränderungen.

Workshop: Arbeiten am schlagenden Herzen – Die Heartbleed-Schwachstelle zum selber Testen

Florian Seitl
Dieses Mal selber in die Tasten klopfen. Von früher war ich eher gewohnt, dass die Workshops hoffnungslos überfüllt waren. Diesmal keine 10 Teilnehmer, etwa ein drittel der Plätze ist besetzt. Aber gut, Heartbleed ist schon länger her und sollte ja kein Thema mehr sein. Ein gut vorbereiteter Workshop. Jeder Teilnehmer konnte sich auf 3 virtuellen Maschinen austoben. Der Angriff erfolgte mit Metasploit. Für alle die den Key nicht schnell genug finden konnten lagen die Files schon vorbereitet auf den Systemen.

Linux Memory Forensics: Dissecting the User Space Process Heap

Frank Block
Ich habe nur etwa die zweite Hälfte gesehen. Scheinbar ist es recht aufwändig, Speicherbereiche zu identifizieren und Daten auszulesen.

Lure Box – Using Honeytokens for Detecting Cyberattacks

Christoph Malin
Stellt eine gute Idee dar. Man versteckt Daten, die nie verwendet werden und protokolliert den Zugriff darauf. Etwa eine Tabelle mit interessantem Namen in einer Datenbank. Und wenn wirklich jemand zugreift, merkt man dass man ein gravierendes Problem hat. Also eine Art Honeypot, aber halt nicht als eigener Rechner ausgeführt. Ich vermute, das ist eher ein Thema für Forschung (FH) oder three-letter-agencies.

cat /var/log/news

Daniel Haslinger & Christoph Lang-Muhr
Wer den Fnord-Jahresrückblick kennt, hat eine grobe Vorstellung wie es da zugeht. Ein wunderbarer Abschluss für den Abend!

Nach dem offiziellen Teil wurde noch zur Afterparty im neuen Hackerspace geladen.