Das iOS Update auf Version 9.3 ist seit 21. März 2016 verfügbar und bringt neue Funktionen im Bereich des Mobile Device Management (MDM) mit. Was ist Mobile Device Management? Unter MDM versteht man die Verwaltung von mobiler Hardware (z.B. Notebooks, Smartphones, Tablets) in der IT-Infrastruktur eines Unternehmens. Diese Verwaltung dient vornehmlich der Informationssicherheit und dem […]
Dr. Martin Klein-Hennig
Posts by Dr. Martin Klein-Hennig:
Sicherheitslücke in Standardbibliothek glibc
Unabhängig voneinander haben Sicherheitsexperten von Red Hat und Google eine Schwachstelle in der Standardbibliothek glibc gefunden, die das Ausführen von Schadcode ermöglichen kann. „glibc“ steht für die „Gnu C Library“ und ist die im Unix-Bereich am weitesten verbreitete Standardbibliothek für die Programmiersprache C. So enthält glibc häufig verwendete Funktionen für Ein- und Ausgabe, Speichermanagement, mathematische […]
OWASP Top Ten: A5 – Sicherheitsrelevante Fehlkonfigurationen
Dieser Blogbeitrag zu unserer Reihe zur OWASP Top Ten, den häufigsten Sicherheitslücken in Webapplikationen, behandelt sicherheitsrelevante Fehlkonfigurationen. Sicherheitsrelevante Fehlkonfigurationen umfassen einen großen Bereich an Sicherheitslücken, die sowohl bei der Installation und Konfiguration als auch bei Administration und Wartung einer Webapplikation entstehen können. Dabei können alle Ebenen der Anwendung inklusive der zugrundeliegenden Web- und Datenbankserver betroffen […]
OWASP Top Ten: A4 – Unsichere direkte Objektreferenzen
In diesem Beitrag zu unserer Reihe zur OWASP Top Ten, den häufigsten Sicherheitslücken in Webapplikationen, erklären wir das Gefahrenpotential von sogenannten direkten Objektreferenzen (engl. „Insecure direct object references“). Dabei handelt es sich um eine simple, häufig übersehene Sicherheitslücke mit großen Auswirkungen. Sie kann überall dort auftreten, wo verschiedene Benutzer mit verschiedenen horizontalen Berechtigungsstufen auf die […]
Rowhammer.js – Absturz per JavaScript
Die Sicherheitsforscher Clémentine Maurice und Daniel Gruss haben auf dem 32. Chaos Communication Congress in ihrem Vortrag „Rowhammer.js – Root privileges for web apps?“ ihre JavaScript-Umsetzung des Rowhammer-Angriffs vorgestellt. Rowhammer? Rowhammer ist eine Hardware-Sicherheitslücke, die es erlaubt, im Arbeitsspeicher eines Computers bestimmte Speicherstellen zu manipulieren. Die Lücke basiert darauf, dass Arbeitsspeicher, der auf physikalischer Ebene […]
Backdoors in Hardware
In ihrem Vortrag „Hardware-Trojaner in Security-Chips“ auf dem 32. Chaos Communication Congress in Hamburg richteten die Sicherheitsforscher Peter Laackmann und Markus Janke die Aufmerksamkeit auf bösartige Hardwaremanipulationen und mögliche Gegenmaßnahmen. Bösartige Hintertüren Während Softwaretrojaner weithin bekannt, einfach zu entwickeln und relativ leicht aufzudecken und zu bekämpfen sind, sind sowohl die Erkennung als auch die Bekämpfung […]
OWASP Top Ten: A3 – Cross-Site Scripting (XSS)
In diesem Beitrag zu unserer Reihe zur OWASP Top Ten, den häufigsten Sicherheitslücken in Webapplikationen, wird das sogenannte Cross-Site-Scripting (kurz XSS) näher erläutert. XSS bezeichnet eine Angriffsmethode, bei der eine Webapplikation Benutzereingaben wiedergibt, ohne diese zu überprüfen. Dadurch kann ein Angreifer Schadcode an den Browser eines Benutzers übermitteln, wobei es sich um JavaScript-Code handelt. JavaScript […]
OWASP Top Ten: A2 – Fehler in Authentifizierung und Session-Management
Dieser Beitrag unserer Reihe zur OWASP Top Ten, den häufigsten Sicherheitslücken in Webapplikationen, beschäftigt sich mit Fehlern in der Authentifizierung und dem Session-Management. Webapplikationen, die benutzerbezogene Dienste anbieten (z.B. Social-Media-Webseiten) sind darauf angewiesen, dass sich der Benutzer gegenüber der Webapplikation authentifiziert. Dies geschieht in den meisten Fällen per Benutzername und Passwort. Hat sich der Benutzer […]
OWASP Top Ten: A1 – Injection
In diesem Beitrag aus unserer Reihe zur OWASP Top Ten, den häufigsten Sicherheitslücken in Webapplikationen, beschäftigen wir uns mit Injections, also „Injektionen“. Injection-Sicherheitslücken nutzen eine ungesicherte Verarbeitung von Nutzereingaben aus, z.B. in Eingabefeldern für Namen und Adressen. Statt die vorgesehenen Daten einzugeben, kann ein Angreifer z.B. Programmcode oder Datenbankbefehle in das Feld eingeben. Eine unsichere […]
Sicherheit im World Wide Web: Die OWASP Top 10
Webapplikationen sind allgegenwärtig: Online-Banking und -Shopping, soziale Netzwerke und Mails, aber auch spezielle Anwendungen wie Vereinsverwaltung, Foren oder kollaborative Dokumentenbearbeitung finden hauptsächlich im Webbrowser statt. Wie jede andere Software müssen auch Webapplikationen programmiert werden. Sie werden danach je nach genutzer Architektur ganz oder teilweise auf dem Webserver, teilweise auf dem Client (Browser) ausgeführt. Programmierfehler können […]
Dateisystemattribute geschickt einsetzen
In der IT-Sicherheit ist die Vergabe von Nutzerkonten mit unterschiedlichen Zugriffsrechten unerlässlich. Dadurch wird der Zugriff auf Dateien eingeschränkt und Systemdateien vor den Nutzern eines Systems geschützt. Die Systemadministration ist dann nur als Superuser möglich. Nur dieser hat Zugriff auf alle Dateien des Systems. Gerade bei der Kommandozeilenarbeit unter Linux ist deshalb Vorsicht geboten: ein […]
Sicherheitslücken FREAK und Logjam – was tun?
Verschlüsselte Kommunikation im Internet, z.B. beim Online-Banking oder –shopping, ist für viele mit dem kleinen Schloss verbunden, das der Browser in der Adresszeile einblendet: Die Kommunikation ist sicher und verschlüsselt. Dass das keineswegs der Fall sein muss haben zwei Sicherheitslücken gezeigt, die im März und Mai 2015 bekannt wurden. Getauft wurden sie auf die Namen […]