Wenn Sie das nächste Mal eine kabellose Tastatur benutzen, sollten Sie darauf achten, keine sensiblen Daten über das Gerät einzugeben. Sicherheitsforscher von Bastille Networks haben in einem Video eindrucksvoll demonstriert, wie hoch das Sicherheitsrisiko beim Einsatz von Funktastaturen tatsächlich ist. Die Forscher haben gezeigt, wie einfach es ist, mittels einer sogenannten Sniffing-Attacke die Kommunikation zwischen […]
Michael Cyl
Posts by Michael Cyl:
OWASP Top Ten: A8 – Cross-Site-Request-Forgery
In diesem Beitrag aus unserer OWASP Top Ten Reihe, welche die 10 größten Sicherheitsrisiken für Webapplikationen sowie entsprechende Gegenmaßnahmen näher erläutert, geht es um sogenannte Cross-Site-Request-Forgery-Angriffe (kurz CSRF). Ein Cross-Site-Request-Forgery (zu deutsch seitenübergreifende Aufrufmanipulation) führt eine – meist sicherheitskritische – Funktion einer Webanwendung im Kontext eines gerade angemeldeten Nutzers aus. Sofern wir CSRF-Schwachstellen im Rahmen […]
OWASP Top Ten: A7 – Fehlerhafte Autorisierung auf Anwendungsebene
Welche Auswirkungen eine fehlerhafte Autorisierung auf Anwendungsebene haben kann und was Sie dagegen unternehmen können, zeigt unser heutiger Beitrag aus der OWASP Top Ten Reihe. Grundsätzlich entsteht eine fehlerhafte Autorisierung auf Anwendungsebene durch eine fehlende oder unzureichende serverseitige Überprüfung von Zugriffsberechtigungen. Die Sicherheitslücke tritt weiterhin auf, wenn die Berechtigungsprüfung ausschließlich auf Parametern basiert, welche durch […]
OWASP Top Ten: A6 – Verlust der Vertraulichkeit sensibler Daten
Dieser Blogbeitrag zu unserer Reihe zur OWASP Top Ten, den häufigsten Sicherheitslücken in Webapplikationen, erläutert die Gefahr der Preisgabe von sensiblen Daten und wie Sie Ihre Anwendung sowie deren Benutzer davor schützen können. Bei sensiblen Daten handelt es sich beispielsweise um Gesundheits-, Kreditkarten- oder auch Zugangsdaten, deren Vertraulichkeit sowohl bei der Speicherung als auch bei […]
VoIP: Leichtes Spiel für Angreifer!?
Dass die IP-Telefonie respektive Voice over IP (kurz VoIP) aufgrund der fehlenden Verschlüsselung datenschutzrechtliche Risiken mit sich bringt, haben wir bereits vor einiger Zeit erörtert. Da die IP-Telefonie – unter anderem durch die flächendeckende Umstellung der Telekom von ISDN- auf IP-Telefonie – zunehmend an Bedeutung gewinnt, wird auch die Sicherheit der Technologie immer mehr in […]
Über 90% aller Datendiebstähle im Jahr 2014 waren vermeidbar
Die Online Trust Alliance (OTA), eine gemeinnützige Organisation mit dem Ziel die Vertrauenswürdigkeit der Online-Welt zu verbessern, ist der Meinung, dass über 90% der Datendiebstähle in der ersten Hälfte des letzten Jahres auf einfache Weise hätten verhindert werden können. Gleichzeitig hat die OTA entsprechende Leitfäden zur Datensicherheit und zum Vorgehen bei Risiko-Analysen bereitgestellt. Statistik zeigt […]
HSTS: Sicherheitsfunktion erzeugt Datenschutzprobleme
Unser Nutzungs- und Surfverhalten im Internet ist für viele Unternehmen – vor allem im Marketing-Bereich – von großem Interesse. Dabei geht es hauptsächlich um die Wiedererkennung respektive das Tracking der Nutzer, um ihnen passende Werbung anzuzeigen. Dass dafür u.a. Browser-Cookies genutzt werden, ist kein großes Geheimnis mehr. Damit ein Tracking der Benutzer auch ohne bzw. […]
Microsoft Patch Day
Immer wieder dienstags könnte man sagen. Jeden zweiten Dienstag im Monat stellt Microsoft sogenannte Patches zur Verfügung, die Sicherheitslücken schließen sollen. Microsoft stuft die Patches je nach Risiko in kritisch, wichtig und moderat ein. Angekündigt für letzten Dienstag waren 16 Patches. Herausgegeben wurden zwar nur 14 Patch-Pakete, allerdings fallen vier davon in die Kategorie „kritisch“ […]
Gefahr von Poodle besteht weiter
Vor einer Woche haben Google Sicherheitsexperten aufgedeckt, dass Hacker eine HTTPS-Verbindung zu Servern über aktuelle Sicherheitsverfahren unterbinden und eine Verbindung über das veraltete und unsichere SSLv3-Protokoll erzwingen können (wir berichteten). Nun hat heise Security getestet und festgestellt, dass viele Mailserver, wie z.B. GMX, Google, OK.de, die Telekom, Web.de und Yahoo den alten SSLv3-Standard immer noch […]
Das Aus für SSL 3.0
Mit dem am 14. Oktober 2014 präsentierten Angriff namens Poodle (Padding Oracle On Downgraded Legacy Encryption) haben die Google-Sicherheitsforscher Bodo Möller, Thai Duong und Krzysztof Kotowicz nun ganz offiziell das Ende der SSL-Version 3.0 eingeläutet. Das Verschlüsselungsprotokoll SSL wurde im Jahre 1996 in der Version 3.0 veröffentlicht und gilt schon seit geraumer Zeit als veraltet […]
Shellshock: Der große Bruder von Heartbleed
Seit dem 29. September 2014 ist eine neue Software-Sicherheitslücke öffentlich bekannt, welche sogar dem skandalösen Heartbleed-Bug ohne Probleme den Rang als Schwachstelle des Jahres abläuft. Das Schadenspotentials der als Shellshock getauften Sicherheitslücke erhielt vom National Institute of Standards and Technology (NIST) die maximale Bewertung von 10. Namensgebend ist dabei ein Software-Fehler in dem Kommandozeileninterpreter Bash, […]