Entwickler Magazin - Übersicht

Dipl.-Inform. Carsten Eilers

Startseite

Über mich

Angebotsspektrum

Konferenzen

Texte

About Security
Online-Artikel
Magazin-Artikel

• Entwickler Magazin
      2019
      2018
      2017
      2016
      2015
      2014
      2013
      2012
      2011
      2008-2010
      alle (lang!)
• Mobile Technology
      2019
      2016
      2015
      2014
      2012/2013
      alle (lang!)
• PHP Magazin / PHP User
      2019
      2018
      2017
      2016
      2015
      2014
      2013
      2012
      2011
      2009-2010
      alle (lang!)
• PHP Magazin Workshops
• windows.developer
      2019
      2018
      2017
      2016
      2015
      2014
      2013
      2012
      2008-2011
      alle (lang!)
• Andere Magazine

PHP Magazin Workshops
Aktuelle Bücher
Ältere Bücher

Advisories

zum Blog ...

Impressum

Datenschutzerklärung

Einschränkung der Auswahl

Alle Artikel aus
    2019     2018     2017     2016     2015     2014     2013     2012     2011     2010     2008/2009
oder nur Artikel des
• Entwickler Magazin aus
    2019     2018     2017     2016     2015     2014     2013     2012     2011     2008-2010     alle (lang!)
• Mobile Technology aus
    2019     2016     2015     2014     2012/2013     alle (lang!)
• PHP Magazin / PHP User aus
    2019     2018     2017     2016     2015     2014     2013     2012     2011     2009/2010     alle (lang!)
• windows.developer / dot.Net Magazin aus
    2019     2018     2017     2016     2015     2014     2013     2012     2008-2011     alle (lang!)
• oder der anderen Magazine

---

Schlimmer geht immer?

DDoS-Angriffe und wer davon profitiert

Im Entwickler Magazin 3.19 ist ein Artikel über DDoS-Angriffe (Distributed Denial-of-Service) erschienen.

Eine Leseprobe des Artikels gibt es auf entwickler.de.

Update 27.5.2019:
Den Artikel gibt es jetzt auch vollständig auf entwickler.de zu lesen.
Ende des Update

Links

Die Linksammlung finden Sie auf dieser Extraseite.

---

Kryptowährungen

Wie funktionieren Bitcoins, Ethers und Co. eigentlich?

Im Entwickler Magazin 2.19 ist ein Artikel über Kryptowährungen erschienen.

Links

Die Linksammlung finden Sie auf dieser Extraseite.

---

Wie sicher sind die Mobilfunknetze?

Sicherheitslücken in Smartphones und Netzen

Im Entwickler Magazin 1.19 ist ein Artikel über die Sicherheit der Mobilfunknetze erschienen.

Links

Die Linksammlung finden Sie auf dieser Extraseite.

---

EFAIL: Angriff auf verschlüsselte Mails

Wie funktioniert EFAIL und wie schlimm ist das alles wirklich?

Im Entwickler Magazin 6.18 ist ein Artikel über die EFAIL-Angriffe auf die E-Mail-Verschlüsselung erschienen: Wie funktioniert EFAIL und wie schlimm ist das alles wirklich?

Update 28.12.18:
Den Artikel gibt es jetzt online auf entwickler.de!
Ende des Updates

Links

Die Linksammlung finden Sie auf dieser Extraseite.

---

Schickt sich das?

Teil 1: Grundlagen der E-Mail-Verschlüsselung

Im Entwickler Magazin 5.18 ist ein Artikel über die Grundlagen der E-Mail-Verschlüsselung erschienen.

Update 15.10.18:
Den Artikel gibt es jetzt auch online auf entwickler.de!
Ende des Updates

Links

• [1] De-Mail-Gesetz, §1

---

Angriffe auf und über Bluetooth

Eine Bestandsaufnahme in Sachen Bluetooth-Sicherheit

Im Entwickler Magazin 4.18 ist ein Artikel über Angriffe auf und über Bluetooth erschienen.

Links

Die Linksammlung finden Sie auf dieser Extraseite.

---

Entwickler Magazin Spezial Vol.16: Security - Editorial

Eins ist sicher: Die IT ist es nicht.

Ich hatte die Ehre, für das Entwickler Magazin Spezial Vol.16: Security das Editorial zu schreiben, dass Sie auf der Seite zum Magazin auch online lesen können.

Update
Das Editorial ist nun auch in einer längeren Fassung auf entwickler.de zu lesen.
Endes des Updates

Links

Links gibt es im Editorial nicht.

---

Ein schmaler Grat

Welche Kryptoverfahren sollte man verwenden bzw. meiden?

Im Entwickler Magazin Spezial Vol.16: Security ist ein Überblick über den aktuellen Stand der Sicherheit in der Kryptographie erschienen: Welche Kryptoverfahren sollte man verwenden bzw. meiden?

Links

Die Linksammlung finden Sie auf dieser Extraseite.

---

Wenn das IoT ins Haus einzieht…

Heimautomation und Security

Im Entwickler Magazin Spezial Vol.16: Security ist ein Artikel über die Sicherheit der Heimautomation erschienen.

Links

Die Linksammlung finden Sie auf dieser Extraseite.

---

Was passiert, wenn etwas passiert?

Incident Response: Pläne, die man macht, um sie hoffentlich nie zu benötigen

Im Entwickler Magazin 3.18 ist ein Artikel über "Incident Response" erschienen: Was passiert, wenn etwas passiert? Wie soll auf einen Angriff reagiert werden?

Update 18.6.18
Der Artikel ist jetzt auch online auf entwickler.de zu lesen.
Ende des Updates

Links

Die Linksammlung finden Sie auf dieser Extraseite.

---

Sicher ist (nicht immer) sicher

Daten mithilfe von Data Loss Prevention schützen

Im Entwickler Magazin 2.18 ist ein Artikel über Data Loss Prevention erschienen: Wie lässt sich das herausschmuggeln von Daten aus einem lokalen Netz erkennen und verhindern?

Update 25.9.2018:
Der Artikel ist jetzt auch online auf entwickler.de verfügbar.
Ende des Updates

Links

Die Linksammlung finden Sie auf dieser Extraseite.

---

Exoten im Internet of Targets

Täglich neue Angriffsziele im IoT

Im Entwickler Magazin 1.18 ist ein Artikel über die Sicherheit der Exoten im Internet of Things erschienen.

Eine Leseprobe gibt es auf entwickler.de.

Nachtrag 1.3.2018:
Der Artikel ist jetzt auch online auf entwickler.de zu lesen
Ende des Nachtrags

Links

Die Linksammlung finden Sie auf dieser Extraseite.

---

Wenn das IoT ins Haus einzieht…

Heimautomation und Security

Im Entwickler Magazin 6.17 ist ein Artikel über die Sicherheit der Heimautomation erschienen.

Links

Die Linksammlung finden Sie auf dieser Extraseite.

---

Fuzzing, Debugging, Scanning

Hilfreiche Securitytools für Android im Überblick

Im Entwickler Magazin 5.17 ist ein Artikel über Securitytools für Android erschienen.

Links

Die Linksammlung finden Sie auf dieser Extraseite.

---

Sesam, öffne dich!

Schlösser mit Elektronik teurer und unsicherer machen

Im Entwickler Magazin 4.17 ist ein Artikel über die (Un-)Sicherheit elektronischer Schlösser erschienen. Eine Leseprobe finden Sie auf entwickler.de!

Links

Die Linksammlung finden Sie auf dieser Extraseite.

---

Achtung, privat!?

Ein Überblick über einige Vorträge rund um Überwachung auf dem 33c3

Im Entwickler Magazin 3.17 ist ein Artikel über einige Vorträge rund um Überwachung auf dem 33c3 erschienen. Eine Leseprobe finden Sie auf entwickler.de!

Links

Die Linksammlung finden Sie auf dieser Extraseite.

---

Autos – so angreifbar wie nie

Immer mehr IT in Autos macht diese immer angreifbarer

Im Entwickler Magazin 2.17 ist ein Artikel über Angriffe auf die IT-Systeme in Autos erschienen. Eine Leseprobe finden Sie auf entwickler.de!

Links

Die Linksammlung finden Sie auf dieser Extraseite.

---

Cyberkriminelle erobern das IoT

IoT-Botnets legen das Web lahm

Im Entwickler Magazin 1.17 ist ein Artikel über Angriffe auf das IoT und das aus kompromittierten IoT-Geräten aufgebaute Botnet "Mirai" erschienen.

Links

Die Linksammlung finden Sie auf dieser Extraseite.

---

Festplattenverschlüsselung im Visier

Wie sicher sind verschlüsselte Festplatten?

Im Entwickler Magazin 6.16 ist ein Artikel über Angriffe auf Festplattenverschlüsselungen erschienen.

Links

Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer Extraseite ausgelagert.

---

Angriffsziel WLAN

Angriffe auf und über das WLAN

Im Entwickler Magazin 5.16 ist ein Artikel über Angriffe auf WLANs erschienen.

Links

Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer Extraseite ausgelagert.

---

Internet of Targets

Die potenziellen Angriffsziele des IoT

Im Entwickler Magazin 4.16 ist ein Artikel über Angriffe auf das IoT erschienen. Genauer: Auf einige eher exotische Vertreter des IoT.

Links

Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer Extraseite ausgelagert.

---

Angriffsziel DNS

Rund ums Domain Name System sind viele Angriffe möglich

Im Entwickler Magazin 3.16 ist ein Artikel über Angriffe auf das Domain Name System DNS erschienen.

Links

Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer Extraseite ausgelagert.

---

Zwei auf einen Streich

Veraltete Algorithmen gefährden die Sicherheit

Im Entwickler Magazin 3.16 ist ein Artikel über die aktuellen Angriffe auf SSL und TLS erschienen: DROWN und CacheBleed.

Links

Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer Extraseite ausgelagert.

---

Bargeldlos => Geld los?!

Wie sieht es mit der Sicherheit des mobilen Zahlens aus?

Im Entwickler Magazin 2.16 ist ein Artikel über Angriffe auf das bargeldlose Zahlen, sowohl mit der altbekannten Chip&PIN-Karte als auch mit dem Smartphone, erschienen.

Links

• [1] Carsten Eilers, entwickler.de: "Apple Pay: Wie funktioniert es und: Wie sicher ist es?"
• [2] Apple Support: "Apple Pay security and privacy overview"
• [3] Cherian Abraham; Drop Labs: "Smart Mouse Traps and Lazy Mice"
• [4] Cherian Abraham; Drop Labs: "Rampant: Explaining the current state of Apple Pay Fraud"
• [5] Charles Arthur; The Guardian: "Apple Pay: a new frontier for scammers"
• [6] Jordi Van den Breekel; Black Hat Asia 2015: "Relaying EMV Contactless Transactions Using Off-the-Shelf Android Devices"
• [7] EMVco: "EMV Contactless Specifications for Payment Systems"
• [8] Ricardo J. Rodríguez, Pepe Vila; Hack in the Box Amsterdam 2015: "Relay Attacks in EMV Contactless Cards with Android OTS Devices"
• [9] Ricardo J. Rodríguez, Pepe Vila; Proceedings of the 11th Workshop on RFID Security (RFIDsec), 2015: "Practical Experiences on NFC Relay Attacks with Android: Virtual Pickpocketing Revisited" (PDF)
• [10] Ricardo J. Rodríguez, José Vila; Rooted CON 2015: "On Relaying NFC Payment Transactions using Android devices" (Präsentation auf Slideshare)
• [11] Peter Fillmore; Black Hat USA 2015: "Crash & Pay: How to Own and Clone Contactless Payment Devices"
• [12] Samy Kamkar: "MagSpoof - "wireless" credit card/magstripe spoofer"
• [13] Fabian Bräunlein, Philipp Maier, Karsten Nohl; 32. Chaos Communication Congress 32C3: "Shopshifting - The potential for payment system abuse" (Video des Vortrags)
• [14] Vincent Haupert; 32. Chaos Communication Congress 32C3: "(Un)Sicherheit von App-basierten TAN-Verfahren im Onlinebanking"
• [15] Vincent Haupert, Tilo Müller;, Forschungsgruppe Systemsicherheit und Softwareschutz, Uni Erlangen: "(Un)Sicherheit von App-basierten TAN-Verfahren im Onlinebanking" (Video des Vortrags)
• [16] Jürgen Schmidt: Heise online: "Unsichere App-TAN: Sparkasse verteidigt ihr pushTAN-Banking"

---

Angriffsziel Auto(-IT)

Infotainment-Systeme, OBD-II-Port und Co. bieten immer mehr Angriffsstellen

Im Entwickler Magazin 1.16 ist ein Artikel über Angriffe auf die IT-Systeme in Autos erschienen.

Links

Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer Extraseite ausgelagert.

---

Lost Identity

Identitätsmissbrauch: Was kann passieren, und was kann man dagegen machen?

Im Entwickler Magazin 6.15 ist ein Artikel über die möglichen Folgen eines Identitätsmissbrauchs und wie man sich schützen kann erschienen.

Links

Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer Extraseite ausgelagert.

---

Verräterische Datenberge

Was weiß das Netz über uns – und was verrät es davon?

Im Entwickler Magazin 5.15 ist ein Artikel über die Spuren, die wir im Internet hinterlassen, und was man damit anstellen kann, erschienen.

Update 13. April 2016:
Der Artikel ist jetzt auch online verfügbar.
Ende des Updates

Links

Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer Extraseite ausgelagert.

---

VoIP im Visier der Cyberkriminellen

Wie sicher ist VoIP eigentlich?

Im Entwickler Magazin 4.15 ist ein Artikel über die Sicherheit von VoIP erschienen.

Links

Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer Extraseite ausgelagert.

---

Wie DevOps die Sicherheit erhöhen kann

„Best Practices“ in Sachen Sicherheit mit DevOps

Im Entwickler Magazin Spezial Vol. 4 - DevOps ist ein Artikel über Sicherheit von und mit DevOps erschienen.

Links

• [1] Carsten Eilers: "Microsoft Security Development Lifecycle"; windows.developer 4.2012
• [2] James DeLuccia IV, Jeff Gallimore, Gene Kim, Byron Miller: "DevOps Auditor Defense Toolkit"

---

Auf Vorrat gespeichert

Was die angeblich harmlosen Metadaten alles über uns verraten

Im Entwickler Magazin 3.15 ist ein Artikel über die Bedeutung von Metadaten erschienen. Bei der Forderung nach einer Vorratsdatenspeicherung wird deren Bedeutung ja meist mit der Aussage relativiert, dass ja "nur" Metadaten gespeichert würden und keine Inhalte. Aber schon diese Metadaten verraten sehr viel über die Benutzer. Ost sogar mehr als die eigentlichen Daten, zu deren Beschreibung sie ja eigentlich nur dienen.

Update 23.5.2016
Der Artikel wurde jetzt auch online auf entwickler.de veröffentlicht.
Ende des Updates

Links

Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer Extraseite ausgelagert.

---

Kein Feuer, aber kräftig am Kokeln!

Teil 2 des Rückblicks auf Schwachstellen und Angriffe im Jahr 2014

Im Entwickler Magazin 2.15 ist ein Artikel über die "prominenten" Schwachstellen und Angriffe des Jahres 2014 erschienen. Also die, die mit Namen versehen wurden, was ja zuvor ziemlich selten passierte, 2014 aber fast üblich wurde. Außerdem gab es so viele Schwachstellen und Angriffe, dass es teilweise schien, als stünde das Internet in Flammen. Tat es aber nicht. Zum Glück!

Im Entwickler Magazin 1.15 war bereits ein erster Artikel zu den Schwachstellen und Angriffen rund um SSL/TLS erschienen.

Links

Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer Extraseite ausgelagert.

---

Sicherheit geht vor

Machine-to-Machine-Kommunikation aus der Sicherheitsperspektive

Im Entwickler Magazin 2.15 ist ein Artikel über die Sicherheit der Machine-to-Machine-Kommunikation erschienen. Untersucht werden die Schutzmaßnahmen der beiden Protokolle MQTT und CoAP.

Nachtrag 5. Mai 2016:
Der Artikel ist jetzt auch online auf entwickler.de verfügbar!
Ende des Nachtrags

Links

• [1] Carsten Eilers: "About Security #1: IT-Sicherheit — Was ist das eigentlich?" auf archive.org
• [2] OASIS: "OASIS Members to Advance MQTT Standard for M2M/ IoT Reliable Messaging"
• [3] Lucy Zhang; Facebook Engineering: "Building Facebook Messenger"
• [4] Giuliano Diniz de Morais; The Mobile Frontier: "Why Facebook is using MQTT on mobile"
• [5] MQTT Version 3.1.1 - 5 Security
• [6] MQTT v3.1.1 Protocol Specification
• [7] MQTT Version 3.1.1 - 5.4.1 Authentication of Clients by the Server
• [8] Carsten Eilers: "Quo vadis, SSL?"; Entwickler Magazin 4.2012
• [9] Carsten Eilers: "Herzbluten, ein bissiger Poodle und Co."; Entwickler Magazin 1.2015
• [10] Carsten Eilers: "About Security #74: Kryptographie — Advanced Encryption Standard (AES)" auf archive.org
• [11] Constrained RESTful Environments (core) WG
• [12] RFC 7252 - The Constrained Application Protocol (CoAP)
• [13] RFC 6347 - Datagram Transport Layer Security Version 1.2
• [14] Thamer A. Alghamdi, Aboubaker Lasebae, Mahdi Aiash; Second International Conference on Future Generation Communication Technologies (FGCT 2013): "Security Analysis of the Constrained Application Protocol in the Internet of Things"
• [15] Carsten Eilers: "Kryptostandards im NSA-Zeitalter - Teil 3: Die NSA und ihr Einfluss auf Standards"; Entwickler Magazin 3.2014
• [16] RFC 7252 - The Constrained Application Protocol (CoAP) - 9. Securing CoAP
• [17] Carsten Eilers: "SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 3"
• [18] RFC 7252 - The Constrained Application Protocol (CoAP) - 11. Security Considerations

---

Herzbluten, ein bissiger Poodle und Co.

Ein Rückblick auf Schwachstellen und Angriffe im Jahr 2014

Im Entwickler Magazin 1.15 ist ein Artikel über die Angriffe auf SSL/TLS und deren Implementierungen im Jahr 2014 erschienen. Denn mit Heartbleed (OpenSSL), Poodle (SSL/TLS), dem Triple-Handshake-Angriff (TLS), der GOTO-FAIL-Schwachstelle in Mac OS X und iOS und BERserk (NSS Library) waren die 2014 ganz schön gebeutelt.

Links

Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer Extraseite ausgelagert.

---

Zu Lande, zu Wasser und in der Luft

Angriffe auf Embedded Systems in Autos, Flugzeugen und Schiffen

Im Entwickler Magazin 6.14 ist ein Artikel über Angriffe auf Embedded Systems in Autos, Flugzeugen und Schiffen erschienen. Denn Computer lassen sich nicht nur angreifen, wenn sie auf dem Schreibtisch oder im Rechenzentrum stehen, sondern auch wenn sie in Autos, Flugzeugen oder Schiffen eingebaut sind.

Links

• [1] Margi Murphy; Computerworld UK: "Home Office to work with car manufacturers to defend against hackers"
• [2] Chris Greenwood; Daily Mail: "Hackers are blamed for a third of car thefts: One in three vehicles stolen by high-tech criminals who do not need owner's keys"
• [3] ConsumerReports.org: "Hacking car security 12/05: Keyless entry system, car security system" (via Archive.org)
• [4] Steve Bono, Matthew Green, Adam Stubblefield, Avi Rubin, Ari Juels, Michael Szydlo: "Analysis of the Texas Instruments DST RFID" (via archive.org)
• [5] Lestlane News: "Gone in 20 Minutes: using laptops to steal cars" (via archive.org)
• [6] Slashdot: "Using Laptops to Steal Cars"
• [7] Bruce Schneier; Schneier on Security: "Stealing Cars with Laptops"
• [8] Josh Robertson; The Courier-Mail: "$30 device available online blamed for spike in car thefts in Queensland"
• [9] Nitesh Dhanjani: "Cursory Evaluation of the Tesla Model S: We Can't Protect Our Cars Like We Protect Our Workstations"
• [10] Graham Cluley: "How a hacked password can unlock a Tesla car"
• [11] Rob Waugh; ESET We Live Security: "Tesla shocker as researcher picks electric supercar’s lock"
• [12] Karl Koscher, Alexei Czeskis, Franziska Roesner, Shwetak Patel, Tadayoshi Kohno, Stephen Checkoway, Damon McCoy, Brian Kantor, Danny Anderson, Hovav Shacham, Stefan Savage; IEEE Symposium on Security and Privacy 2010: "Experimental Security Analysis of a Modern Automobile" (PDF)
• [13] Alberto Garcia Illera, Javier Vazquez Vidal; Black Hat Asia 2014: "Dude, WTF in My CAN!"
• [14] Charlie Miller, Chris Valasek; DefCon 21 (2013): "Adventures in Automotive Networks and Control Units"
• [15] Chris Valasek, Charlie Miller; IOActive Labs Research Blog: "Car Hacking: The Content"
• [16] Andy Greenberg; Forbes: "Hackers Reveal Nasty New Car Attacks--With Me Behind The Wheel (Video)"
• [17] Charlie Miller, Chris Valasek; SyScan Singapore 2014: "Car Hacking for Poories" (ZIP)
• [18] Stephen Checkoway, Damon McCoy, Brian Kantor, Danny Anderson, Hovav Shacham, Stefan Savage, Karl Koscher, Alexei Czeskis, Franziska Roesner, Tadayoshi Kohno; USENIX Security 2011: "Comprehensive Experimental Analyses of Automotive Attack Surfaces" (PDF)
• [19] Ishtiaq Rouf, Rob Miller, Hossen Mustafa, Travis Taylor, Sangho Oh, Wenyuan Xu, Marco Gruteser, Wade Trappe, Ivan Seskar: "Security and Privacy Vulnerabilities of In-Car Wireless Networks: A Tire Pressure Monitoring System Case Study" (PDF)
• [20] Bruce Schneier; Schneier on Security: "Hacking Cars Through Wireless Tire-Pressure Sensors"
• [21] Charlie Miller, Christopher Valasek; Black Hat USA 2014: "A Survey of Remote Automotive Attack Surfaces"
• [22] Brian Donohue; Kaspersky Lab Blog: "Mobiles Auto-Hacking auf der Black Hat"
• [23] Michael Mimoso; ThreatPost: "Car Hacking Enters Remote Exploitation Phase"
• [24] Chris Valasek; IOActive Labs Research Blog: "Remote survey paper (car hacking)"
• [25] Andy Greenberg; Wired: "Hackers Could Take Control of Your Car. This Device Can Stop Them"
• [26] Wayne Yan, Kai Peng; SyScan360: "Hack Your Car and I’ll Drive You Crazy: the Design of Hack-proof CAN-based Automotive System" (PDF)
• [27] Lisa Vaas; Sophos Naked Security: "$80 million yacht hijacked by students spoofing GPS signals"
• [28] Cockrell School of Engineering: "UT Austin Researchers Spoof Superyacht at Sea"
• [29] Marco Balduzzi, Kyle Wihoit, Alessandro Pasta; Hack in the Box Malaysia 2013: "Hey Captain, Where’s Your Ship? Attacking Vessel Tracking Systems for Fun and Profit"
• [30] Marco Balduzzi, Kyle Wihoit, Alessandro Pasta: "Hey Captain, Where’s Your Ship? Attacking Vessel Tracking Systems for Fun and Profit" (PDF)
• [31] Marco Balduzzi; Black Hat Asia 2014: "AIS Exposed Understanding Vulnerabilities & Attacks 2.0"
• [32] Marco Balduzzi, Alessandro Pasta; Hack in the Box Amsterdam 2014: "AIS Exposed: New Vulnerabilities and Attacks"
• [33] Hugo Teso; Hack in the Box Amsterdam 2013: "Aircraft Hacking: Practical Aero Series"
• [34] Zeljka Zorz, Berislav Kucan; Help Net Security: "Hijacking airplanes with an Android phone"
• [35] Andy Greenberg; Forbes: "Researcher Says He's Found Hackable Flaws In Airplanes' Navigation Systems (Update: The FAA Disagrees)"
• [36] Zeljka Zorz; Help Net Security: "FAA and EASA say hijacking planes using an app is not possible"
• [37] Hugo Teso; Hack in the Box Malaysia 2013: "Digging Deeper into Aviation Security"
• [38] Hugo Teso; n.runs Blog: "Aviation Security - FMS Exploitation Over ACARS"
• [39] Brad "RenderMan" Haines; DefCon 20 (2012): "Hacker + Airplanes = No Good Can Come Of This"
• [40] Lisa Vaas: Sophos Naked Security: "Drone hijacked by hackers from Texas college with $1,000 spoofer"
• [41] Ruben Santamarta; Black Hat USA 2014: "SATCOM Terminals: Hacking by Air, Sea, and Land"
• [42] Ruben Santamarta; IOActive Labs Blog: "A Wake-up Call for SATCOM Security"
• [43] Jim Finkle; Reuters: "Hacker says to show passenger jets at risk of cyber attack"
• [44] Dr. Phil Polstra, Captain Polly Kadolph; DefCon 22 (2014): "Cyberhijacking Airplanes: Truth or Fiction?"
• [45] DefCon 22 Presentation Phil Polstra
• [46] Dr. Phil Polstra: "Cyberhijacking Airplanes: Truth or fiction"

---

Angriffsziel Industriesteuerungen

Von Sicherheitslücken, Würmern und Co.

Im Entwickler Magazin 5.14 ist ein Artikel über Angriffe auf Industriesteuerungen erschienen. Industriesteuerungen mit Internetanschluss sind eine schlechte Idee Aber auch ohne Internetanschluss sind sich nicht unbedingt sicher, wie Stuxnet eindrucksvoll bewiesen hat. Wie sieht es also mit der Sicherheit von Industriesteuerungen aus?

Links

• [1] Sean Sullivan, F-Secure: "Espionage Attack Uses LNK Shortcut Files"
• [2] Chester Wisniewski, Sophos: "Windows zero-day vulnerability uses shortcut files on USB"
• [3] VirusBlokAda: "Rootkit.TmpHider" (auf Archive.org)
• [4] Microsoft Security Advisory "(2286198): Vulnerability in Windows Shell Could Allow Remote Code Execution"
• [5] Tareq Saade, Microsoft Malware Protection Center: "The Stuxnet Sting"
• [6] Alexander Gostev, Kaspersky: "Myrtus and Guava, Episode 2"
• [7] Chester Wisniewski, Sophos: "Certified uncertainty"
• [8] Sophos: "W32/Stuxnet-B"
• [9] Sean Sullivan, F-Secure: "More Analysis of Case LNK Exploit"
• [10] Graham Cluley, Sophos: "Yes, there's malware. But don't change your SCADA password, advises Siemens"
• [11] Siemens: "SIMATIC WinCC / SIMATIC PCS 7: Information about Malware / Viruses / Trojan horses"
• [12] Christopher Budd, Microsoft Security Response Center: "Out of Band Release to address Microsoft Security Advisory 2286198"
• [13] Holly Stewart, Microsoft Malware Protection Center: "Stuxnet, malicious .LNKs, ...and then there was Sality"
• [14] Microsoft Security Bulletin "MS10-046 - Critical: Vulnerability in Windows Shell Could Allow Remote Code Execution (2286198)"
• [15] Alexander Gostev, Kaspersky: "Myrtus and Guava, Episode MS10-061"
• [16] Liam O Murchu, Symantec: "Stuxnet Using Three Additional Zero-Day Vulnerabilities"
• [17] Nicolas Falliere, Symantec: "Stuxnet Introduces the First Known Rootkit for Industrial Control Systems"
• [18] Nicolas Falliere, Symantec: "Exploring Stuxnet’s PLC Infection Process"
• [19] Eric Chien, Symantec: "Stuxnet: A Breakthrough"
• [20] Frank Rieger, Knowledge Brings Fear: "stuxnet: targeting the iranian enrichment centrifuges in Natanz?"
• [21] William J. Broad, John Markoff, David E. Sanger; New York Times: "Israeli Test on Worm Called Crucial in Iran Nuclear Delay"
• [22] Marty Edwards, Todd Stauffer: "Control System Security Assessments"; 2008 Automation Summit (PDF)
• [23] Kim Zetter, Wired: "How Digital Detectives Deciphered Stuxnet, the Most Menacing Malware in History"
• [24] Paul Roberts, ThreatPost: "Report: Iran Resorts to Rip And Replace To Kill Off Stuxnet"
• [25] David Albright, Paul Brannan, Christina Walrond; Institute for Science and International Security: "Did Stuxnet Take Out 1,000 Centrifuges at the Natanz Enrichment Plant?" (auch als PDF)
• [26] David Albright, Paul Brannan, Christina Walrond; Institute for Science and International Security: "Stuxnet Malware and Natanz: Update of ISIS December 22, 2010 Report" (auch als PDF)
• [27] Symantec Security Response, Symantec: "Updated W32.Stuxnet Dossier is Available"
• [28] Richard Sale, ISSSource: "Stuxnet Loaded by Iran Double Agents"
• [29] David E. Sanger , New York Times: "Obama Order Sped Up Wave of Cyberattacks Against Iran"
• [30] Graham Cluley, Sophos: "Stuxnet: How USA and Israel created anti-Iran virus, and then lost control of it"
• [31] Geoff McDonald, Liam O Murchu, Stephen Doherty, Eric Chien; Symantec: "Stuxnet 0.5: The Missing Link" (PDF)
• [32] Ralph Langner, The Langner Group: "To Kill a Centrifuge - A Technical Analysis of What Stuxnet's Creators Tried to Achieve" (PDF)
• [33] Brian Krebs, Krebs on Security: "Cyber Intrusion Blamed for Hardware Failure at Water Utility"
• [34] Brian Donohue, ThreatPost: "Water Utility Damaged by Cyberattack"
• [35] Ellen Nakashima, The Washington Post: "Foreign hackers targeted U.S. water plant in apparent malicious cyber attack, expert says"
• [36] Kim Zettler, Wired: "Exclusive: Comedy of Errors Led to False ‘Water-Pump Hack’ Report"
• [37] pr0f auf Pastebin: loldhs pr0f
• [38] Chester Wisniewski, Sophos: "Interview with SCADA hacker pr0f about the state of infrastructure security"
• [39] Paul Roberts, ThreatPost: "Hacker Says Texas Town Used Three Character Password To Secure Internet Facing SCADA System"
• [40] Jan-Ole Malchow, Johannes Klick; 21. DFN-Workshop "Sicherheit in vernetzten Systemen": "Erreichbarkeit von digitalen Steuergeräten - ein Lagebild" (PDF)
• [41] Carsten Eilers: "Internet of (In)Security?", Entwickler Magazin 4.2014
• [42] Michael Mimoso, ThreatPost: "Shodan Search Engine Project Enumerates Internet-Facing Critical Infrastructure Devices"
• [43] Michael Mimoso, ThreatPost: "Hackers Aggressively Scanning ICS, SCADA Default Credentials, Vulnerabilities"
• [44] ICS-CERT Advisories
• [45] ICS-CERT Alerts
• [46] Carsten Eilers, JAXenter.de: "Die Heartbleed-Katastrophe: Wie funktioniert der Angriff und was kann passieren?"
• [47] ICS-ALERT-14-099-01: "Situational Awareness Alert for OpenSSL Vulnerability"
• [48] Wikipedia: "Unidirectional network"
• [49] genua: Datendiode zur sicheren Vernetzung von Maschinenanlagen und KRITIS
• [50] Daavid Hentunen, F-Secure: "Havex Hunts for ICS/SCADA Systems"
• [51] ICS-CERT - Other Reports
• [52] Steffen Wendzel, Sebastian Szlosarczyk; "Hack in the Box" Amsterdam 2014: "Alice’s Adventures in Smart Building Land – Novel Adventures in a Cyber Physical Environment"
• [53] Billy Rios, "Black Hat" Asia 2014: "Owning a Building: Exploiting Access Control and Facility Management Systems"
• [54] Lucas Apa, Carlos Mario Penagos; "Black Hat" USA 2013: "Compromising Industrial Facilities From 40 Miles Away"
• [55] Eric Forner, Brian Meixell; "Black Hat" USA 2013: "Out of Control: Demonstrating SCADA device exploitation"
• [56] Kyle Wilhoit, "Black Hat" USA 2013: "The SCADA That Didn't Cry Wolf- Who's Really Attacking Your ICS Devices- Part Deux!"
• [57] Dan Tentler, "Hack in the Box" Amsterdam 2013: "System Shock: The Shodan Computer Search Engine" (Präsentation als PDF)
• [58] Kyle Wilhoit, "Black Hat" Europe 2013: "Who's Really Attacking Your ICS Devices?"
• [59] Carsten Eilers: "SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2010"

Ergänzend gibt es in meinem Blog ab hier einen Serie von Artikeln mit einem Überblick über die Vorträge zu SCADA-Systemen und Industriesteuerungen auf den Sicherheitskonferenzen ab 2010.

---

Internet of (In)Security?

Risiken und Gefahrenpotenziale in der Heimautomation

Auch im Entwickler Magazin Spezial "Internet of Things" ist der Artikel über die Risiken und Gefahrenpotenziale in der Heimautomation enthalten. Es gab bereits mehr oder weniger kritische Schwachstellen in der wohl mitunter etwas blauäugig implementierten Firmware der Dinge, die da mit dem Internet verbunden werden und dadurch natürlich auch möglichen Angriffen ausgesetzt sind.

Links

• [1] Louis-F. Stahl, BHKW-Infothek: "Kritische Sicherheitslücke ermöglicht Fremdzugriff auf Systemregler des Vaillant ecoPOWER 1.0"
• [2] Susanne Schneidereit, Louis-F. Stahl; BHKW-Infothek: "Gefahr im Kraftwerk: Auch große BHKW sind betroffen!"
• [3] Gunnar Micheel, Susanne Schneidereit; BHKW-Infothek: "Parlamentarische Anfrage zur Sicherheit von BHKW-Steuerungen und Neues zum Sicherheitsupdate für das ecoPOWER 1.0"
• [4] Susanne Schneidereit, BHKW-Infothek: "Neue ecoPOWER 1.0 Firmware beseitigt Sicherheitslücken"
• [5] Vaillant Deutschland: "Neue VPN-Kommunikationseinheit für Ihren ecoPOWER 1.0" (PDF)
• [6] Ronald Eikenberg, Heise Online: "Kritische Schwachstelle in hunderten Industrieanlagen"
• [7] Louis-F. Stahl, Ronald Eikenberg; Heise Online: "Kritisches Sicherheitsupdate für 200.000 Industriesteuerungen"
• [8] Nitesh Dhanjani, Black Hat Asia 2014: "Abusing the Internet of Things: Blackouts, Freakouts, and Stakeouts"
• [9] Nitesh Dhanjani: "Hacking Lightbulbs"
• [10] "Hacking Lightbulbs" Video auf YouTube
• [11] IOActive: "IOActive Lights Up Vulnerabilities for Over Half a Million Belkin WeMo Users"
• [12] IOActive: "IOActive Security Advisory: Belkin WeMo Home Automation Vulnerabilities" (PDF)
• [13] Jared Allar, US-CERT: Vulnerability Note VU#656302 - Belkin Wemo Home Automation devices contain multiple vulnerabilities
• [14] Belkin, Inc. Information for VU#656302 - Belkin Wemo Home Automation devices contain multiple vulnerabilities
• [15] Behrang Fouladi, Sahand Ghanoun; Black Hat USA 2013: "Honey, I’m Home!! - Hacking Z-Wave Home Automation Systems"
• [16] "Black Hat USA 2013 - Honey, I'm home!! - Hacking Z-Wave Home Automation Systems" Video auf YouTube
• [17] Sensepost Research Labs: "Hacking Z-Wave Home Automation Systems"
• [18] Drew Porter, Stephen Smith; Black Hat USA 2013: "Let's get Physical: Breaking Home Security Systems and Bypassing Buildings Controls" (Präsentation dazu)
• [19] "Black Hat USA 2013 - Let's get physical: Breaking home security systems & bypassing controls" Video auf YouTube
• [20] Daniel Crowley, David Bryan, Jennifer Savage; Black Hat USA 2013: "Home Invasion 2.0 - Attacking Network-Connected Hardware"
• [21] Trustwave SpiderLabs Security Advisory TWSL2013-020: Hard-Coded Bluetooth PIN Vulnerability in LIXIL Satis Toilet
• [22] Markus Selinger, AV-Test: "Test: Smart-Home-Kits öffnen Tür und Tor – für jeden"
• [23] Carsten Eilers: "Kommentare zu spammenden Kühlschränken, neugierigen Geschäften und mehr"
• [24] Carsten Eilers: "Ransomware: Geld her, oder die Daten sind weg"

---

Internet of (In)Security?

Risiken und Gefahrenpotenziale in der Heimautomation

Im Entwickler Magazin 4.14 ist ein Artikel über die Risiken und Gefahrenpotenziale in der Heimautomation erschienen. Es gab bereits mehr oder weniger kritische Schwachstellen in der wohl mitunter etwas blauäugig implementierten Firmware der Dinge, die da mit dem Internet verbunden werden und dadurch natürlich auch möglichen Angriffen ausgesetzt sind.

Links

• [1] Louis-F. Stahl, BHKW-Infothek: "Kritische Sicherheitslücke ermöglicht Fremdzugriff auf Systemregler des Vaillant ecoPOWER 1.0"
• [2] Susanne Schneidereit, Louis-F. Stahl; BHKW-Infothek: "Gefahr im Kraftwerk: Auch große BHKW sind betroffen!"
• [3] Gunnar Micheel, Susanne Schneidereit; BHKW-Infothek: "Parlamentarische Anfrage zur Sicherheit von BHKW-Steuerungen und Neues zum Sicherheitsupdate für das ecoPOWER 1.0"
• [4] Susanne Schneidereit, BHKW-Infothek: "Neue ecoPOWER 1.0 Firmware beseitigt Sicherheitslücken"
• [5] Vaillant Deutschland: "Neue VPN-Kommunikationseinheit für Ihren ecoPOWER 1.0" (PDF)
• [6] Ronald Eikenberg, Heise Online: "Kritische Schwachstelle in hunderten Industrieanlagen"
• [7] Louis-F. Stahl, Ronald Eikenberg; Heise Online: "Kritisches Sicherheitsupdate für 200.000 Industriesteuerungen"
• [8] Nitesh Dhanjani, Black Hat Asia 2014: "Abusing the Internet of Things: Blackouts, Freakouts, and Stakeouts"
• [9] Nitesh Dhanjani: "Hacking Lightbulbs"
• [10] "Hacking Lightbulbs" Video auf YouTube
• [11] IOActive: "IOActive Lights Up Vulnerabilities for Over Half a Million Belkin WeMo Users"
• [12] IOActive: "IOActive Security Advisory: Belkin WeMo Home Automation Vulnerabilities" (PDF)
• [13] Jared Allar, US-CERT: Vulnerability Note VU#656302 - Belkin Wemo Home Automation devices contain multiple vulnerabilities
• [14] Belkin, Inc. Information for VU#656302 - Belkin Wemo Home Automation devices contain multiple vulnerabilities
• [15] Behrang Fouladi, Sahand Ghanoun; Black Hat USA 2013: "Honey, I’m Home!! - Hacking Z-Wave Home Automation Systems"
• [16] "Black Hat USA 2013 - Honey, I'm home!! - Hacking Z-Wave Home Automation Systems" Video auf YouTube
• [17] Sensepost Research Labs: "Hacking Z-Wave Home Automation Systems"
• [18] Drew Porter, Stephen Smith; Black Hat USA 2013: "Let's get Physical: Breaking Home Security Systems and Bypassing Buildings Controls" (Präsentation dazu)
• [19] "Black Hat USA 2013 - Let's get physical: Breaking home security systems & bypassing controls" Video auf YouTube
• [20] Daniel Crowley, David Bryan, Jennifer Savage; Black Hat USA 2013: "Home Invasion 2.0 - Attacking Network-Connected Hardware"
• [21] Trustwave SpiderLabs Security Advisory TWSL2013-020: Hard-Coded Bluetooth PIN Vulnerability in LIXIL Satis Toilet
• [22] Markus Selinger, AV-Test: "Test: Smart-Home-Kits öffnen Tür und Tor – für jeden"
• [23] Carsten Eilers: "Kommentare zu spammenden Kühlschränken, neugierigen Geschäften und mehr"
• [24] Carsten Eilers: "Ransomware: Geld her, oder die Daten sind weg"

---

Kryptostandards im NSA-Zeitalter

Teil 3: Die NSA und ihr Einfluss auf Standards

Im Entwickler Magazin 3.2014 ist der dritte (und letzte) Artikel einer kleinen Serie über die Sicherheit kryptographischer Verfahren angesichts der NSA-Enthüllungen erschienen. Die NSA hat die Entwicklung verschiedener Standards beeinflusst. Ein Pseudo-Zufallszahlengenerator enthält eine Hintertür, IPsec ist so kompliziert, das es kaum sicher implementier- und nutzbar ist, und das ist wahrscheinlich nur die Spitze eines Eisbergs an Manipulationen.

Links

• [1] Carsten Eilers: "Kryptografie im NSA-Zeitalter - Teil 1: Wie sicher sind symmetrische Verfahren noch?", Entwickler Magazin 1.14
• [2] Carsten Eilers: "Kryptografie im NSA-Zeitalter - Teil 2: Wie sicher sind asymmetrische und hybride Verfahren noch?", Entwickler Magazin 2.14
• [3] Daniel J. Bernstein: "Curve25519: A state-of-the-art Diffie-Hellman function"
• [4] OpenSSH: Changes since OpenSSH 6.4
• [5] Ed25519: high-speed high-security signatures
• [6] NIST Special Publication (SP) 800-90A: Recommendation for Random Number Generation Using Deterministic Random Bit Generators (PDF, Version vom Januar 2012)
• [7] Berry Schoenmakers, Andrey Sidorenko: "Cryptanalysis of the Dual Elliptic Curve Pseudorandom Generator"
• [8] Daniel R. L. Brown, Kristian Gjøsteen: "A Security Analysis of the NIST SP 800-90 Elliptic Curve Random Number Generator"
• [9] Dan Shumow, Niels Ferguson: "On the Possibility of a Back Door in the NIST SP800-90 Dual Ec Prng" (PDF)
• [10] Matthew Green: "The Many Flaws of Dual_EC_DRBG"
• [11] FIPS 140-2 - Security Requirements for Cryptographic Modules (PDF)
• [12] Steve Marquess, Mailingliste openssl-announce: "Flaw in Dual EC DRBG (no, not that one)"
• [13] RSA BSAFE
• [14] Joseph Menn, Reuters: "Exclusive: Secret contract tied NSA and security industry pioneer"
• [15] RSA Security: RSA Response to Media Claims Regarding NSA Relationship
• [16] Nicole Perlroth, Jeff Larson, Scott Shane; New York Times: "N.S.A. Able to Foil Basic Safeguards of Privacy on Web"
• [17] James Ball, Julian Borger, Glenn Greenwald; The Guardian: "Revealed: how US and UK spy agencies defeat internet privacy and security"
• [18] Jeff Larson, Nicole Perlroth, Scott Shane; ProPublica: "Revealed: The NSA’s Secret Campaign to Crack, Undermine Internet Security"
• [19] Nicole Perlroth, New York Times: "Government Announces Steps to Restore Confidence on Encryption Standards"
• [20] NIST: Supplemental ITL Bulletin for September 2013 (PDF)
• [21] Kim Zetter, Wired: "RSA Tells Its Developer Customers: Stop Using NSA-Linked Algorithm"
• [22] Matthew Green: "RSA warns developers not to use RSA products"
• [23] NIST, Office of the Director: "Cryptographic Standards Statement"
• [24] NIST: SP 800-90 Arev1-B-C - DRAFT Draft SP 800-90 Series: Random Bit Generators
• [25] NIST initiating Review of Cryptographic Standards Development Process
• [26] RFC 4301 - Security Architecture for the Internet Protocol
• [27] Niels Ferguson, Bruce Schneier: "A Cryptographic Evaluation of IPsec"
• [28] John Gilmore: "Re: [Cryptography] Opening Discussion: Speculation on "BULLRUN""
• [29] Counterpane Labs: CMEA Cryptanalysis
• [30] Microsoft Security Advisory (2880823) - Deprecation of SHA-1 Hashing Algorithm for Microsoft Root Certificate Program
• [31] Amerk, Windows PKI blog: "SHA1 Deprecation Policy"
• [32] William Peteroy, Security Research & Defense Blog: "Security Advisory 2880823: Recommendation to discontinue use of SHA-1"
• [33] Microsoft Security Advisory (2862973) - Update for Deprecation of MD5 Hashing Algorithm for Microsoft Root Certificate Program
• [34] NIST Computer Security Division - The SHA-3 Cryptographic Hash Algorithm Competition, November 2007 - October 2012
• [35] The Keccak sponge function family
• [36] NIST Computer Security Division - SHA-3 WINNER
• [37] John Kelsey: "SHA3 - Past, Present, and Future" (PDF)
• [38] Keccak-Entwickler: "Yes, this is Keccak!"
• [39] Bruce Schneier: "Will Keccak = SHA-3?"
• [40] John M. Kelsey: "Moving forward with SHA3" (PDF)
• [41] European Union Agency for Network and Information Security (ENISA): "Algorithms, Key Sizes and Parameters Report"
• [42] Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen: "Bekanntmachung zur elektronischen Signatur nach dem Signaturgesetz und der Signaturverordnung (Übersicht über geeignete Algorithmen)"
• [43] NIST Special Publication (SP) 800-57: Recommendation for Key Management – Part 1: General (Revision 3) (PDF)
• [44] BetterCrypto*org
• [45] BetterCrypto*org: "Applied Crypto Hardening" (PDF)

---

Kryptografie im NSA-Zeitalter

Teil 2: Wie sicher sind asymmetrische und hybride Verfahren noch?

Im Entwickler Magazin 2.2014 ist der zweite Artikel einer kleinen Serie über die Sicherheit kryptographischer Verfahren angesichts der NSA-Enthüllungen erschienen. Seit der Veröffentlichung der von Edward Snowden geleakten NSA-Daten ist die Verunsicherung groß: Wo hat die NSA überall die Finger im Spiel? Was ist noch sicher? Welchen Protokollen kann man noch vertrauen? Ich werde versuchen, diese Fragen in einer kleinen Artikelserie zu beantworten. In dieser Folge geht es um asymmetrischer Verschlüsselung, bei der zum Ver- und Entschlüsseln verschiedene Schlüssel verwendet werden, und die aus symmetrischen und asymmetrischen Systemen kombinierten hybriden Systeme.

Links

• [1] Carsten Eilers: "Kryptografie im NSA-Zeitalter - Teil 1: Wie sicher sind symmetrische Verfahren noch?", Entwickler Magazin 1.14
• [2] Ronald L. Rivest, Adi Shamir, Leonard Adleman: "A Method for Obtaining Digital Signatures and Public-Key Cryptosystems" (PDF)
• [3] Wikipedia: Erweiterter euklidischer Algorithmus
• [4] Wikipedia: Eulersche Phi-Funktion
• [5] Newsgroup sci.crypt: "RSA factoring challenge", 18.3.1991
• [6] RSA Laboratories: "The RSA Factoring Challenge"
• [7] RSA Laboratories: "The New RSA Factoring Challenge" (14.7.2001, via archive.org)
• [8] RSA Laboratories: "The RSA Challenge Numbers" (5.8.2001, via archive.org)
• [9] RSA Honor Roll (As of March 5, 1999)
• [10] RSA Laboratories: "RSA-140 IS FACTORED!"
• [11] Kazumaro Aoki, Yuji Kida, Takeshi Shimoyama, Hiroki Ueda: "GNFS Factoring Statistics of RSA-100, 110, ..., 150"
• [12] RSA Laboratories: "RSA-155 IS FACTORED!"
• [13] RSA Laboratories: "RSA-160 IS FACTORED!"
• [14] Jens Franke: "We have factored RSA160 by gnfs."
• [15] Dominik Bonenberger, Martin Krone: "Factorization of RSA-170" (PDF)
• [16] RSA Laboratories: "RSA-576 IS FACTORED!"
• [17] S.A. Danilov, I.A. Popovyan: "Factorization of RSA-180"
• [18] I. Popovyan, A. Timofeev; mersenneforum.org: "RSA-190 factored"
• [19] RSA Laboratories: "RSA-640 IS FACTORED!"
• [20] Jens Franke: "We have factored RSA640 by GNFS."
• [21] RSA Laboratories: "RSA-200 IS FACTORED!"
• [22] Thorsten Kleinjung: "We have factored RSA200 by GNFS."
• [23] mersenneforum.org: "RSA-210 factored"
• [24] Shi Bai, Emmanuel Thomé, Paul Zimmermann: "Factorisation of RSA-704 with CADO-NFS" (PDF)
• [25] RSA Laboratories: "RSA-768 IS FACTORED!"
• [26] Thorsten Kleinjung, Kazumaro Aoki, Jens Franke, Arjen Lenstra, Emmanuel Thomé, Joppe Bos, Pierrick Gaudry, Alexander Kruppa, Peter Montgomery, Dag Arne Osvik, Herman te Riele, Andrey Timofeev, Paul Zimmermann: "Factorization of a 768-bit RSA modulus"
• [27] RSA Laboratories: The RSA Challenge Numbers
• [28] RSA Laboratories: The RSA Factoring Challenge FAQ
• [29] Steven Rich, Barton Gellman; The Washington Post: "NSA seeks to build quantum computer that could crack most types of encryption"
• [30] Bruce Schneier: "I personally am concerned about any constant whose origins I don't personally trust." (Kommentar unter: Bruce Schneier: "The NSA Is Breaking Most Encryption on the Internet")
• [31] Bruce Schneier, theguardian.com: "NSA surveillance: A guide to staying secure"
• [32] Carsten Eilers: "Quo vadis, SSL? - Wie sicher sind HTTPS-Verbindungen noch?", Entwickler Magazin 4.2012
• [33] Joseph Menn, Reuters: "Exclusive: Secret contract tied NSA and security industry pioneer"
• [34] Speaking of Security - The RSA Blog and Podcast: "RSA Response to Media Claims Regarding NSA Relationship"
• [35] Jacob Appelbaum (@ioerror): "RC4 is broken in real time by the #NSA - stop using it."
• [36] Jacob Appelbaum (@ioerror): "I have confirmed it with several sources - including some with knowledge of #NSA #CES"
• [37] Steve Marquess; Mailingliste openssl-announce: "Flaw in Dual EC DRBG (no, not that one)"

---

Die OWASP Top 10

Die gefährlichsten Webanwendungsschwachstellen im Überblick

Im Entwickler Magazin 2.2014 ist der erste Teil eines zweiteiligen Artikels über die OWASP Top 10, die zehn gefährlichsten Schwachstellen in Webanwendungen, erschienen. Die Reihenfolge der Schwachstellen ergibt sich aus vier Faktoren:

1. Die Wahrscheinlichkeit dafür, dass eine Webanwendung die Schwachstelle enthält ("Prevalence").
2. Die Wahrscheinlichkeit dafür, dass ein Angreifer die Schwachstelle entdeckt ("Detectability").
3. Die Wahrscheinlichkeit dafür, dass ein Angreifer die Schwachstelle erfolgreich ausnutzt ("Exploitability").
4. Die typischen Folgen eines Angriffs ("Impact").

Los geht es mit den Plätzen 1 bis 5:

• A1 - Injection
• A2 - Broken Authentication and Session Management
• A3 - Cross-Site Scripting (XSS)
• A4 - Insecure Direct Object References
• A5 - Security Misconfiguration

Links

• [1] OWASP Top 10 2013
• [2] OWASP Top 10 2013: A1 - Injection
• [3] Carsten Eilers: "SQL-Injection im Schnelldurchlauf"
• [4] Carsten Eilers: "Passwortlecks ohne Ende?"
• [5] Carsten Eilers: "Drive-by-Infektionen durch SQL-Injection vorbereitet"
• [6] Carsten Eilers: "PHP-Sicherheit von PHP 4.x bis PHP 5.5"; PHP Magazin 5.13
• [7] OWASP Enterprise Security API
• [8] OWASP Top 10 2013: A2 - Broken Authentication and Session Management
• [9] Carsten Eilers: "Websecurity - Angriffe über Logikfehler"
  Carsten Eilers: "Websecurity - Angriffe über Logikfehler, Teil 2"
  Carsten Eilers: "Websecurity - Logikfehler in der Authentifizierung"
  Carsten Eilers: "Websecurity - Logikfehler in der Authentifizierung und auf der Flucht"
• [10] Carsten Eilers: "HTTPS und Cookies sicher einsetzen"
  Carsten Eilers: "Angriff und Abwehr des CookieMonster"
  Carsten Eilers: "Firesheep fängt ungeschützte Cookies"
• [11] Carsten Eilers: "SSL/HTTPS - Schon wieder schlechte Nachrichten"
• [12] Carsten Eilers: "Passwortlecks ohne Ende?"
• [13] OWASP Top 10 2013: A3 - Cross-Site Scripting (XSS)
• [14] Carsten Eilers:"Drive-by-Infektionen - Gefahren drohen überall"
• [15] OWASP: "XSS (Cross Site Scripting) Prevention Cheat Sheet"
• [16] OWASP: "DOM based XSS Prevention Cheat Sheet"
• [17] OWASP Top 10 2013: A4 - Insecure Direct Object References
• [18] OWASP Top 10 2013:A5 - Security Misconfiguration

---

Kryptografie im NSA-Zeitalter

Teil 1: Wie sicher sind symmetrische Verfahren noch?

Im Entwickler Magazin 1.2014 ist der erste Artikel einer kleinen Serie über die Sicherheit kryptographischer Verfahren angesichts der NSA-Enthüllungen erschienen. Seit der Veröffentlichung der von Edward Snowden geleakten NSA-Daten ist die Verunsicherung groß: Wo hat die NSA überall die Finger im Spiel? Was ist noch sicher? Welchen Protokollen kann man noch vertrauen? Ich werde versuchen, diese Fragen in einer kleinen Artikelserie zu beantworten. Los geht es mit symmetrischer Verschlüsselung, bei der zum Ver- und Entschlüsseln der gleiche Schlüssel verwendet wird.

Links

• [1] FIPS PUB 46-2, Data Encryption Standard (DES)
• [2] FIPS PUB 46-3, Data Encryption Standard (DES) (PDF)
• [3] Eli Biham, Adi Shamir: "Differential Cryptanalysis of DES-like Cryptosystems" (PS.GZ)
• [4] Bruce Schneier: "Applied Cryptography" (englisch, John Wiley & Sons 1996) / "Angewandte Kryptographie" (deutsch, Addison Wesley 1996) (Website)
• [5] Tom R. Johnson: " American Cryptology during the Cold War, 1945–1989: Book III: Retrenchment and Reform", NSA, DOCID 3417193 (Seite 232 = Seite 114 im PDF) (PDF)
• [6] Tom R. Johnson: " American Cryptology during the Cold War, 1945–1989: Book III: Retrenchment and Reform", FOIA-Veröffentlichung auf cryptome.org mit weniger Schwärzungen
• [7] Don Coppersmith: "The Data Encryption Standard (DES) and its strength against attacks" (PDF)
• [8] FAQ zum "DES Cracker" der Electronic Frontier Foundation
• [9] Electronic Frontier Foundation: "Cracking DES: Secrets of Encryption Research, Wiretap Politics, and Chip Design"
• [10] COPACOBANA - Special-Purpose Hardware for Code-Breaking
• [11] SciEngines: "Break DES in less than a single day"
• [12] Department of Commerce, National Institute of Standards and Technology: "Announcing development of a federal information processing standard for advanced encryption standard"
• [13] Department of Commerce, National Institute of Standards and Technology: "Announcing request for candidate algorithm nominations for the advanced encryption standard (AES)"
• [14] NIST: AES Round 2 Information
• [15] NIST Announces Encryption Standard Finalists (PDF)
• [16] Presseerklärung "Commerce Department Announces Winner of Global Information Security Competition" auf archive.org
• [17] Federal Information Processing Standards Publication 197: Specification for the ADVANCED ENCRYPTION STANDARD (AES) (PDF)
• [18] Bruce Schneier, Schneier on Security: "The NSA's Cryptographic Capabilities", 6. September 2013
• [19] James Ball, Julian Borger, Glenn Greenwald; The Guardian: "Revealed: how US and UK spy agencies defeat internet privacy and security"
• [20] Nicole Perlroth, Jeff Larson, Scott Shane; The New York Times: "N.S.A. Able to Foil Basic Safeguards of Privacy on Web"
• [21] Jeff Larson, Nicole Perlroth, Scott Shane; ProPublica: "Revealed: The NSA’s Secret Campaign to Crack, Undermine Internet Security"
• [22] Glenn Greenwald, The Guardian: "Edward Snowden: NSA whistleblower answers reader questions", Antwort auf die Frage "Is encrypting my email any good at defeating the NSA survelielance? Id my data protected by standard encryption?"
• [23] Bruce Schneier, Schneier on Security: "The NSA Is Breaking Most Encryption on the Internet", 5. September 2013, Antwort auf die Frage "Ok, on to the big question. Is AES safe?" vom 6. September 2013

---

Google Hacking

Wie man mit Suchmaschinen Dinge findet, die nicht gefunden werden sollen

Im Entwickler Magazin 4.2013 ist ein Artikel über das "Google Hacking" erschienen: Die Nutzung von Google und anderen Suchmaschinen zur Suche nach allem Möglichen, das eigentlich nicht gefunden werden sollte: Webanwendungen mit Schwachstellen, Schwachstellen in Webanwendungen, Hardware, Software, ...

Links

• [1] Google Hacking Database (GHDB) von Johnny Long
• [2] Google Hacking Database (GHDB) der Exploit DB
• [3] Internet Archive Wayback Machine
• [4] GHDB: "Powered By Dew-NewPHPLinks v.2.1b"
• [5] GHDB: "Welcome to the CyberGuard unit!"
• [6] GHDB: ¦¦Powered by [ClipBucket 2.0.91]
• [7] GHDB: intitle:"HtmlAnvView:D7B039C1"
• [8] GHDB: intext:"~~Joomla1.txt" title:"Index of /"
• [9] GHDB: intitle:awen intitle:asp.net
• [10] Carsten Eilers: "BackTrack, BOSS & Co.", Entwickler Magazin 6.2011
• [11] GHDB: inurl:"tiki-index.php" filetype:php "This is TikiWiki 1.9"
• [12] Exploit DB
• [13] GHDB: "Unable to jump to row" "on MySQL result index" "on line"
• [14] GHDB: "Warning:" "failed to open stream: HTTP request failed" "on line"
• [15] GHDB: "Warning: Supplied argument is not a valid File-Handle resource in"
• [16] GHDB: "Warning: mysql_connect(): Access denied for user: '*@*" "on line" -help –forum
• [17] Google Project Hosting
• [18] GrepCode
• [19] Ohloh Code Search
• [20] Krugle Open Search
• [21] searchcode ¦ source code search engine
• [22] Carsten Eilers: "Kommentare zu Java, SQL Slammer und GitHub-Geheimnissen"
• [23] GHDB: intitle:"SpeedStream * Management Interface"
• [24] GHDB: intitle:"Setup Home" "You will need * log in before * * change * settings"
• [25] GHDB: "Welcome to the CyberGuard unit!"
• [26] GHDB: intitle:"hp laserjet" inurl:info_configuration.htm
• [27] GHDB: allintitle:"SyncThru Web Service"
• [28] GHDB: "display printer status" intitle:"Home"
• [29] GHDB: intitle:"EvoCam" inurl:"webcam.html"
• [30] GHDB: allintitle: Axis 2.10 OR 2.12 OR 2.30 OR 2.31 OR 2.32 OR 2.33 OR 2.34 OR 2.40 OR 2.42 OR 2.43 "Network Camera"
• [31] GHDB: inurl:/control/userimage.html
• [32] GHDB: inurl:cgi-bin/guestimage.html
• [33] Shodan
• [34] GHDB: inurl:admin inurl:userlist
• [35] GHDB: intext:webalizer intext:"total usernames" intext:"Usage Statistics for"
• [36] GHDB: filetype:log username putty
• [37] GHDB: filetype:reg reg HKEY_CURRENT_USER username
• [38] GHDB: intitle:"Index of" .bash_history
• [39] GHDB: "your password is" filetype:log
• [40] GHDB: "admin account info" filetype:log
• [41] GHDB: filetype:cfg "radius" (pass¦passwd¦password)
• [42] GHDB: filetype:sql "insert into" (pass¦passwd¦password)
• [43] GHDB: filetype:sql "MySQL dump" (pass¦password¦passwd¦pwd)
• [44] GHDB: filetype:sql "PostgreSQL database dump" (pass¦password¦passwd¦pwd)
• [45] GHDB: filetype:sql inurl:wp-content/backup-*
• [46] The Web Robots Pages: About /robots.txt
• [47] Google Developers: "Robots meta tag and X-Robots-Tag HTTP header specifications"
• [48] Francis Brown, Rob Ragan: "Pulp Google Hacking - The Next Generation Search Engine Hacking Arsenal", Black Hat USA 2011 (PDF)
• [49] Stach & Liu: Google Hacking Diggity Project

---

Unsicherer Serial Bus

Angriffe über USB

Im Entwickler Magazin 3.2013 ist ein Artikel über Angriffe über den USB-Port erschienen. Vorgestellt werden unter anderem Angriffe über getarnte USB Human Device Interfaces wie USB Rubber Ducky und dem Social Engineering Toolkit.

Links

• [1] Carsten Eilers: "Würmer - Schadsoftware, die sich selbst verbreitet"
• [2] Carsten Eilers: "Conficker, Stuxnet, "Here you have" - die aktuellen Würmer"
• [3] Carsten Eilers: "Anatomie eines Cyberwars", Entwickler Magazin 5.2012
• [4] Damian Hasse, Microsoft Security Research and Defense Blog: "AutoRun changes in Windows 7"
• [5] Joanna Rutkowska: "Why do I miss Microsoft BitLocker?"
• [6] Joanna Rutkowska: "Evil Maid goes after TrueCrypt!"
• [7] Carsten Eilers: "Flames Sammelwut, C&C-Server, Selbstmord-Modus und Verbindung zu Stuxnet"
• [8] Carsten Eilers: "Gauss - Ein staatlicher Onlinebanking-Trojaner?"
• [9] USB Human Interface Device
• [10] USB Rubber Ducky Wiki
• [11] USB Switchblade
• [12] USB Hacksaw
• [13] Ducky Script
• [14] USB Rubber Ducky Payloads
• [15] USB Rubber Ducky Payload "hello world"
• [16] Duck Script Encode online
• [17] USB Rubber Ducky Payload "Payload powershell wget + execute"
• [18] Social Engineering Framework
• [19] Social Engineering Toolkit: 1, 2, 3
• [20] Teensy USB HID Attack Vector
• [21] Teensy
• [22] Teensyduino: Using USB Keyboard with Teensy on the Arduino IDE
• [23] Metasploit
• [24] Nikhil Mittal, Black Hat Abu Dhabi 2011: "Kautilya: Teensy Beyond Shell"
• [25] Netragard's SNOsoft Research Team: "Netragard's Hacker Interface Device (HID)"
• [26] Adrian Crenshaw: "Plug and Prey: Malicious USB Devices"

---

Mac Security – Ein Satz mit X?

Ist Mac OS X wirklich so sicher, wie oft angenommen wird?

Im Entwickler Magazin 2.2013 ist ein Artikel über die Sicherheit von Mac OS X erschienen.

Der Artikel wurde auch im Rahmen der Mac Security Week auf der Website des WebMagazin veröffentlicht:

• Teil 1: Timeline mit Angriffen auf Mac OS X
• Teil 2: Forscherangriffe & Pwn2Own
• Teil 3: Schädlinge und Virenscanner
• Teil 4: Drive-by-Infektionen
• Teil 5: Infografik

Links

Die Quellen sind diesmal im Magazin nicht angegeben, stattdessen sind sie in der Online-Version direkt verlinkt. Eine Linkliste wäre angesichts von 114 Einträgen auch extrem unpraktisch, wovon Sie sich hier gerne überzeugen können.

---

HTML5 Security, reloaded

Wie sieht es aktuell mit der Sicherheit von HTML5 aus?

Im Entwickler Magazin 1.2013 ist ein Artikel über aktuelle Entwicklungen im Bereich der Sicherheit von HTML5 erschienen.

Sehr viel ausführlicher wird das Thema in meinem auf deutsch und englisch erhältlichen eBook "HTML5 Security" behandelt.

Links

• [1] Carsten Eilers: "HTML5 – Angreifers Liebling?", Entwickler Magazin 1.2011
• [2] Carsten Eilers: "HTML5, aber sicher!", Entwickler Magazin 2.2011
• [3] HTML5 Security Cheatsheet
• [4] Carsten Eilers: "About Security #129: Cross-Site-Scripting, reloaded"
• [5] OWASP ESAPI for JavaScript
• [6] Artur Janc, 28C3: "Rootkits in your Web application"
• [7] Robert McArdle: "HTML5 Overview: A look at HTML5 Attack Scenarios" (PDF)
• [8] Carsten Eilers: "About Security #133: XSS-Angriffe (3): JavaScript-Ping & Co."
• [9] Attack and Defense Labs: "Port Scanning with HTML5 and JS-Recon"
• [10] Attack and Defense Labs: JS-Recon
• [11] JS-Recon – HTML5 based JavaScript Network Reconnaissance Tool
• [12] Phil Purviance, Joshua Brashars; Black Hat USA 2012: "Blended Threats and JavaScript: A Plan for Permanent Network Compromise"
• [13] RFC 6455 - The WebSocket Protocol
• [14] The WebSocket API
• [15] Sergey Shekyan: "The Tiny Mighty Waldo"
• [16] Feross Aboukhadijeh: "Using the HTML5 Fullscreen API for Phishing Attacks"
• [17] Feross Aboukhadijeh; W3C Public Webapps Mailing List: "Re: Defenses against phishing via the fullscreen api (was Re: full screen api)"

---

Anatomie eines Cyberwars

Stuxnet, Duqu und Flame – der virtuelle Krieg hat begonnen

Im Entwickler Magazin 5.2012 ist ein Artikel zu Stuxnet und Co. erschienen - den ersten Waffen im Cyberwar.

Links

Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer Extraseite ausgelagert.

---

Quo vadis, SSL?

Wie sicher sind HTTPS-Verbindungen noch?

Im Entwickler Magazin 4.2012 ist ein Artikel zur Sicherheit von SSL und zur Unsicherheit des verwendeten Zertifizierungssystems erschienen.

Links

• [1] ekoparty: BEAST: Surprising crypto attack against HTTPS
• [2] netifera research - BEAST: Chosen plaintext attack against SSL/TLS
• [3] Thai Duong: BEAST
• [4] Bodo Moeller: openssl-dev Mailingliste: Re: an attack against SSH2 protocol
• [5] Gregory V. Bard: The Vulnerability of SSL to Chosen-Plaintext Attack
• [6] Gregory V. Bard: A Challenging but Feasible Blockwise-Adaptive Chosen-Plaintext Attack on SSL
• [7] Bodo Möller: Security of CBC Ciphersuites in SSL/TLS: Problems and Countermeasures
• [8] Mozilla Bugzilla: Bug 665814 - (CVE-2011-3389) Rizzo/Duong chosen plaintext attack (BEAST) on SSL/TLS 1.0 (facilitated by websockets -76)
• [9] Sigbjørn Vik: The "BEAST" SSL/TLS issue
• [10] Tor and the BEAST SSL attack
• [11] Chrome and the BEAST
• [12] Carsten Eilers: About Security #72: Kryptographie — Betriebsarten für Blockchiffren
• [13] Dan Goodin: Hackers break SSL encryption used by millions of sites
• [14] RFC 4346 - The Transport Layer Security (TLS) Protocol Version 1.1; F.4. Security of Composite Cipher Modes
• [15] Issue 98202 - chromium - Server or script on server is intolerant to 1/n-1 record splitting.
• [16] CVE-2011-3389
• [17] SSL Pulse Project
• [18] Dennis Fisher: Survey Finds Secure Sites Not So Secure
• [19] Ivan Ristic: SSL Pulse - To Make SSL More Secure and Pervasive
• [20] Alexander Sotirov, Marc Stevens, Jacob Appelbaum, Arjen Lenstra, David Molnar, Dag Arne Osvik, Benne de Weger: MD5 considered harmful today - Creating a rogue CA Certificate
• [21] Moxie Marlinspike: New Techniques for Defeating SSL/TLS
• [22] SSLStrip
• [23] Moxie Marlinspike: More Tricks For Defeating SSL
• [24] Jacob Appelbaum: [Noisebridge-discuss] Merry Certmas! CN=*\x00thoughtcrime.noisebridge.net
• [25] Tim Jones: [Full-disclosure] null-prefix certificate for paypal
• [26] Ben Laurie: Another Protocol Bites The Dust
• [27] Martin Rex: [TLS] MITM attack on delayed TLS-client auth through renegotiation
• [28] Thierry Zoller: TLS / SSLv3 renegotiation vulnerability explained
• [29] Anil Kurmus: TLS renegotiation vulnerability (CVE-2009-3555) - definitely not a full blown MITM, yet more than just a simple CSRF
• [30] RFC 5746 - Transport Layer Security (TLS) Renegotiation Indication Extension
• [31] Firesheep
• [32] Carsten Eilers: Firesheep fängt ungeschützte Cookies
• [33] Billy Bob Brumley, Nicola Tuveri: Remote Timing Attacks are Still Practical
• [34] US-CERT: Vulnerability Note VU#536044 - OpenSSL leaks ECDSA private key through a remote timing attack
• [35] THC-SSL-DOS
• [36] Eric Rescorla: SSL/TLS and Computational DoS
• [37] Vincent Bernat: SSL computational DoS mitigation
• [38] Carsten Eilers: RSA und die schwachen Schlüssel, Teil 2: Die Schlüssel
• [39] Carsten Eilers: RSA und die schwachen Schlüssel, Teil 3: Die Gefahren
• [40] Qualys SSL Labs SSL Server Test
• [41] SSL/TLS Deployment Best Practices (PDF)
• [42] Carsten Eilers: SSL-Angriff mit Folgen
• [43] Carsten Eilers: Falsche Zertifikate für Google und andere - ist SSL tot?
• [44] Carsten Eilers: Vertrauensfragen
• [45] VASCO Announces Bankruptcy Filing by DigiNotar B.V.
• [46] Carsten Eilers: SSL: Die CAs sägen am eigenen Ast
• [47] Carsten Eilers: Man-in-the-Middle-Angriffe auf HTTPS
• [48] Carsten Eilers: Alternativen zum SSL-CA-Zertifizierungssystem
• [49] Adam Langley, Ben Laurie: Certificate Authority Transparency and Auditability
• [50] Adam Langley: Certificate Transparency
• [51] draft-evans-palmer-key-pinning-00: Public Key Pinning Extension for HTTP

---

CAINE, DEFT, REMnux, FSL & Co.

Teil 2: Linux-Live-CDs zur forensischen Untersuchung und Malware-Analyse

Im Entwickler Magazin 3.2012 ist der zweite Teil des zweiteiligen Artikels über Linux-Live-CDs mit Sicherheitsbezug erschienen. Vorgestellt werden CDs

• zur forensischen Untersuchung (CAINE (Computer Aided INvestigative Environment) und DEFT Linux),
• zur Malware-Analyse (REMnux und Fedora Security Lab),
• als Testumgebung für mobile Geräte (MobiSec Live Environment),
• als Tool-Sammlung (Network Security Toolkit (NST)),
• als Firewalls (Devil-Linux und Zeroshell) und
• zum Schutz der Privatsphäre (Ubuntu Privacy Remix und Tails).

Links

• [1] CAINE (Computer Aided INvestigative Environment)
• [2] DEFT Linux
• [3] REMnux
• [4] Fedora Security Lab
• [5] MobiSec Live Environment
• [6] grml
• [7] Network Security Toolkit (NST)
• [8] SecTools.Org: Top 125 Network Security Tools
• [9] Carsten Eilers: Scanner für das Web, Entwickler Magazin 4.2011
• [10] Carsten Eilers: About Security #29: Die Firewall — Grundlagen (siehe auch die folgenden Folgen)
• [11] Devil-Linux
• [12] Zeroshell
• [13] Ubuntu Privacy Remix
• [14] Tails
• [15] Carsten Eilers: Drive-by-Infektionen - Gefahren drohen überall

---

28C3: Eine Konferenz, viele neue Angriffe

Neues rund um die Web Security

Im Entwickler Magazin 2.2012 ist ein Artikel über auf dem 28. Chaos Communication Congress (28C3) gehaltene Vorträge zum Thema "Web Security" erschienen. Der Schwerpunkt liegt auf den sog. "HASH-DOS"-Angriffen.

Der Artikel wurde auch auf der Website des PHP Magazins veröffentlicht.

Links

• [1] 28C3 - Recordings
• [2] Effective Denial of Service attacks against web application platforms
• [3] n.runs-SA-2011.004 - web programming languages and platforms - DoS through hash table (Text und PDF)
• [4] "Meet-in-the-middle"-Angriffe
• [5] oCERT Advisory #2011-003 Multiple Implementations Denial-of-Service via Hash Algorithm Collision
• [6] PHP Subversion: "Added max_input_vars directive to prevent attacks based on hash collisions"
• [7] PHP 5.3.9 Released und PHP 5.4.0 RC4 released
• [8] Microsoft Security Bulletin MS11-100: Vulnerabilities in .NET Framework Could Allow Elevation of Privilege (2638420)
• [9] Security Research & Defense Blog: More information about the December 2011 ASP.Net vulnerability
• [10] Rootkits in your Web application
• [11] Rootkits - Schadsoftware im System
• [12] New Ways I'm Going to Hack Your Web App
• [13] Der Angriff der Clickjacking-Würmer, "Likejacking" und "Buttonjacking"
• [14] Likejacking - Facebook im Visier der Cyberkriminellen
• [15] About Security #155: Schwachstellensuche: Session Hijacking
• [16] About Security #157: Schwachstellensuche: Session Fixation
• [17] About Security #14: Cross-Site Scripting
• [18] Don't scan, just ask

---

OAuth in der Praxis

Wie Sie OAuth zur Autorisierung verwenden

Im Entwickler Magazin 1.2012 ist der zweite Teil eines zweiteiligen Artikels zum OAuth-Protokoll erschienen. Thema dieses Teils ist der praktische Einsatz des Protokolls am Beispiel von PHP.

Der Artikel wurde auch auf der Website des Entwickler Magazins veröffentlicht.

Links

• [1] Wikiquote Andrew S. Tanenbaum
• [2] OAuth Libraries
• [3] Twitter Libraries
• [4] Twitter OAuth Library von Abraham Wiliams
• [5] OAuth PECL-Erweiterung
• [6] Lorna Jane Mitchell: PHP OAuth Provider: Initial Requirements
  PHP OAuth Provider: Request Tokens
  PHP OAuth Provider: Authenticate User
  PHP OAuth Provider: Access Tokens
• [7] Rasmus Lerdorf: Writing an OAuth Provider Service
• [8] RFC 5849 - The OAuth 1.0 Protocol

---

Autorisierung ohne Wenn und Aber

Teil 1: Sicherer Zugriff auf Web-APIs durch das OAuth-Protokoll

Im Entwickler Magazin 6.2011 ist der erste Teil eines zweiteiligen Artikels zum OAuth-Protokoll erschienen. Thema dieses Teils ist der theoretische Hintergrund: Wie funktioniert das Protokoll.

Der Artikel wurde auch auf der Website des Entwickler Magazins veröffentlicht.

Links

• [1] OAuth
• [2] OAuth Core 1.0
• [3a] OAuth Security Advisory: 2009.1
• [3b] Eran Hammer-Lahav: Explaining the OAuth Session Fixation Attack
• [4] OAuth Core 1.0 Revision A
• [5] RFC 5849 - The OAuth 1.0 Protocol
• [6] RFC 2617 - HTTP Authentication: Basic and Digest Access Authentication
• [7] RFC 2104 - HMAC: Keyed-Hashing for Message Authentication
• [8] RFC 3447 - Public-Key Cryptography Standards (PKCS) #1: RSA Cryptography Specifications Version 2.1
• [9] Carsten Eilers: About Security - Cross-Site Request Forgery Einführung
• [10] Carsten Eilers: Clickjacking - Angriffe auf Seiten ohne Schwachstellen

---

BackTrack, BOSS & Co.

Teil 1: Linux-Live-CDs zur Schwachstellensuche

Im Entwickler Magazin 6.2011 ist der erste Teil eines zweiteiligen Artikels zu Linux-Live-CDs erschienen. Vorgestellt werden verschiedene Live-CDs zur Schwachstellensuche.

Links

• [1] BackTrack
• [2] OpenVAS
• [3] Carsten Eilers: Schwachstellenscanner für Webanwendungen, Entwickler Magazin 4.2011
• [4] BOSS - BSI OSS Security Suite
• [5] OpenVAS Live-CD
• [6] OWASP Live-CD
• [7] Damn Vulnerable Linux (DVL) (Eintrag auf DistroWatch)
• [8] Damn Vulnerable Web Application (DVWA)
• [9] Metasploitable
• [10] OWASP Broken Web Applications Project
• [11] Vicnum
• [12] Virtual Hacking Lab

---

Das Web wird mobil

Besonderheiten mobiler Websicherheit

Im Entwickler Magazin 5.2011 ist ein Artikel zum Thema "Mobile Web-Sicherheit" erschienen.

Links

• [1] Carsten Eilers: Der Angriff der Clickjacking-Würmer, "Likejacking" und "Buttonjacking"
• [2] W3C: Mobile Web Application Best Practices, 3.2 Security and privacy
• [3] Fraunhofer-Institut für Sichere Informationstechnologie: Lost iPhone? Lost Passwords!
• [4] Carsten Eilers: HTML5, aber sicher!; Entwickler Magazin 2.2011, S. 80ff
• [5] Carsten Eilers: SSL-Angriff mit Folgen
• [6] Carsten Eilers: HTTPS und Cookies sicher einsetzen
• [7] Carsten Eilers: Clickjacking - Angriffe auf Seiten ohne Schwachstellen
• [8] Elie Bursztein: Bad Memories
• [9] Gustav Rydstedt, Baptiste Gourdin, Elie Bursztein und Dan Boneh, Stanford University: „Framing Attacks on Smart Phones and Dumb Routers: Tap-jacking and Geo-localization Attacks“, 4th USENIX Workshop on Offensive Technologies (Paper als PDF)
• [10] Lookout Mobile Security: Android Touch-Event Hijacking
• [11] Lookout Mobile Security: Introducing the App Genome Project
• [12] App Genome Project
• [13] Carsten Eilers: Firesheep fängt ungeschützte Cookies
• [14] Carsten Eilers: WEP, WPA, WPA2 - WLAN-Schutz, aber richtig!
• [15] David Rayhawk, McAfee Lab Blog: SMiShing – an emerging threat vector
• [16] FBI: Smishing and Vishing - And Other Cyber Scams to Watch Out for This Holiday

---

Scanner für das Web

Lohnt sich ein Test?

Im Entwickler Magazin 4.2011 ist ein Artikel zum Thema "Web-Schwachstellenscanner" erschienen.

Hier finden Sie die Testanwendung als tar.gz-Archiv und das im Text erwähnte VMware-Image als ZIP-Archiv (Vorsicht: ca. 620 MB!).
Eine Anleitung zum VMware-Image finden Sie hier.

Links

• [1] w3af
• [2] Samurai Web Testing Framework Live-CD
• [3] Metasploit Framework
• [4] Wapiti (Sourceforge)
• [5] skipfish

---

Sind Sie sicher?

Der neue Personalausweis für Entwickler

Im Entwickler Magazin 3.2011 ist ein Artikel zum Thema "Der neue Personalausweis aus Entwicklersicht" erschienen.

Links

• [1] AusweisApp
• [2] rosecat - rosecat open source ePA/eID client attains transparency
• [3] BSI: Das eCard-API-Framework (BSI TR-03112)
• [4] BSI TR-03130 Technische Richtlinie eID-Server, Version 1.4.1
• [5] About Security #101: Diffie-Hellman-Schlüsselaustausch
• [6] BSI TR-03131 Technische Richtlinie EAC-Box
• [7] CCC: Praktische Demonstration erheblicher Sicherheitsprobleme bei Schweizer SuisseID und deutschem elektronischen Personalausweis
• [8] Der IT-Beauftragte der Bundesregierung: IT-Sicherheitskit für Bürgerinnen und Bürger
• [9] Jan Schejbal: AusweisApp gehackt (Malware über Autoupdate)
• [10] BSI: Neue Version der AusweisApp wird überprüft
• [11] BSI: AusweisApp steht wieder zum Download zur Verfügung
• [12] Dominik Oepen, Frank Morgner: "Die gesamte Technik ist sicher" - Besitz und Wissen: Relay-Angriffe auf den neuen Personalausweis
• [13] Jan Schejbal: ePerso: PIN-Diebstahl ohne Malware

---

HTML5, aber sicher!

Wie setzt man die Möglichkeiten von HTML5 sicher ein?

Im Entwickler Magazin 2.2011 ist ein Artikel zum Thema "Sicherer Einsatz von HTML5" erschienen.

Links

• [1] HTML5 Security Cheatsheet
• [2] XSS (Cross Site Scripting) Cheat Sheet
• [3] XSS (Cross Site Scripting) Cheat Sheet Beta-Version
• [4] Robert „RSnake“ Hansen: And Beyond…
• [5] owasp-esapi-js
• [6] HTML5: 8.2.3 Posting messages
• [7] HTML5: 4.8.2 The iframe element
• [8] Chromium Blog: Security in Depth: HTML5's @sandbox
• [9] About Security #138: Webwürmer (1): Samy, der MySpace-Wurm
• [10] Even Without Browser Flaws, Attackers Have the Upper Hand on the Web
• [11] Q&A: Evercookie Creator Samy Kamkar
• [12] Samy Kamkar: evercookie-Demo (legt einen evercookie an)
• [13] Dominic White: Killing the Evercookie
• [14] Dominic White: Killing the Evercookie - Part2 MobileSafari
• [15] Jeremiah Grossman: Killing the Evercookie (Google Chrome w/o Restart)
• [16] Monirul Islam: How to remove evercookie from firefox

---

HTML5 – Angreifers Liebling?

Teil 1: HTML5 gibt es noch nicht, neue Angriffe dagegen schon

Im Entwickler Magazin 1.2011 ist ein Artikel zum Thema "Angriffe auf und über HTML5" erschienen.

Links

• [1] XSS (Cross Site Scripting) Cheat Sheet
• [2] a) Gareth Heyes: HTML5 XSS
  b) Gareth Heyes: HTML5 NEW XSS VECTORS
  c) Thread im sla.ckers.org-Forum
• [3] HTML5 Security Cheatsheet
• [4] Carsten Eilers: Clickjacking - Angriffe auf Seiten ohne Schwachstellen
• [5] Paul Stone: Next Generation Clickjacking
  Material
• [6] Paul Stone: Clickjacking Tool
• [7] Gustav Rydstedt: Busting Frame Busting
  (Präsentation (PDF), Whitepaper (PDF), Video)
• [8] IEBlog: IE8 Security Part VII: ClickJacking Defenses
• [9] Mozilla Security Blog: X-Frame-Options
• [10] HTML 5 WebSocket
• [11] Web Applications 1.0 Draft Standard: The device Element
• [12] HTML5: 4.8.2 The iframe element
• [13] Chromium Blog: Security in Depth: HTML5's @sandbox

---

Mauerfall

Angriffe auf und über den Client gefährden Webanwendung und Benutzer

Im Entwickler Magazin 6.2010 ist ein Artikel zum Thema "Client Security" erschienen.

Links

• [1] Eduardo Vela Nava, David Lindsay: Our Favorite XSS Filters and How to Attack Them
  (Material dazu)
• [2] David Lindsay, Eduardo Vela Nava: Universal XSS via IE8s XSS Filters
  (Weiteres Material dazu)
• [3] Robert "RSnake" Hansen: XSS (Cross Site Scripting) Cheat Sheet
  (Neue (Beta-)Version)
• [4] XSS-Schwachstelle im Internet Explorer 8:
  Microsoft Security Response Center: Guidance on Internet Explorer XSS Filter
  CVE-2010-1489
• [5] IEBlog: IE8 Security Part IV: The XSS Filter
• [6] Amit Klein: DOM Based Cross Site Scripting or XSS of the Third Kind
• [7] Shreeraj Shah: Hacking Browser's DOM - Exploiting Ajax and RIA
• [8] Jeremiah Grossman: Third-Party Web Widget Security FAQ
• [9] DOMScan und DOMTracer
• [10] Jeremiah Grossman: Breaking Browsers: Hacking Auto-Complete
• [11] Jeremiah Grossman: Stealing AutoComplete form data in Internet Explorer 6 & 7
• [12] Carsten Eilers: About Security #131: XSS-Angriffe (1)
• [13] Mike Bailey: Neat, New, and Ridiculous Flash Hacks
• [14] Prajakta Jagdale: Blinded by Flash: Widespread Security Risks Flash Developers Don't See
  (Material dazu)
• [15] Peleus Uhley: Creating more secure SWF web applications

---

XSS, SQL-Injection, Pufferüberlauf, CSRF ...

Die Top 10 der gefährlichsten Programmierfehler, Teil 1

Misstrauen, Path-Traversal und gefährliche Dateien

Die Top 10 der gefährlichsten Programmierfehler, Teil 2

Im Entwickler Magazin 4.2010 ist der erste Teil, im Entwickler Magazin 5.2010 der zweite Teil eines zweiteiligen Artikels über die Top 10 der laut SANS Institute gefährlichsten 25 Programmierfehler erschienen.

Links

• [1] SANS Top 25 Most Dangerous Programming Errors
• [2] Common Weakness Enumeration (CWE)
• [3] XSS (Cross Site Scripting) Prevention Cheat Sheet
• [4] SQL Injection Prevention Cheat Sheet
• [5] Aleph One: "Smashing The Stack For Fun and Profit"
• [6] Visual C++ Compiler Options: /GS (Buffer Security Check)
• [7] Norm Hardy: "The Confused Debuty (or why capabilities might have been invented)"
• [8] Peter Watkins: Cross-Site Request Forgeries
• [9] Johannes Ullrich: Common Apache Misconception

---

Drive-by-Infektionen

Im Entwickler Magazin 2/2009 ist ein Artikel über Drive-by-Infektionen erschienen.

Links

• [1] F-Secure Weblog: Mass SQL Injection
• [2] Handler's Diary des ISC: The 10.000 web sites infection mystery solved
• [3] Handler's Diary des ISC: MSIE 0-day Spreading Via SQL Injection
• [4] "About Security"-Folgen zu SQL-Injection:
  • About Security #11: SQL-Injection
  • About Security #12: SQL-Injection verhindern
  • About Security #13: Mit Stored Procedures gegen SQL-Injection
  • About Security #166: Schwachstellen-Suche: SQL-Injection Grundlagen
  • About Security #167: Schwachstellen-Suche: SQL-Injection über Strings
  • About Security #168: Schwachstellen-Suche: SQL-Injection statt Zahlen
  • About Security #169: Schwachstellen-Suche: SQL-Injection Statements
  • About Security #170: Schwachstellen-Suche: SQL-Injection mit UNION
  • About Security #171: Schwachstellen-Suche: SQL-Injection mit UNION (2)
  • About Security #172: Schwachstellen-Suche: SQL-Injection mit Filter
  • About Security #173: Schwachstellen-Suche: SQL-Injection mit Escape
  • About Security #174: Schwachstellen-Suche: SQL-Injection 2. Ordnung
  • About Security #175: Schwachstellen-Suche: Blind SQL-Injection
  • About Security #176: Schwachstellen-Suche: SQL-Injection verhindern
• [5] Dancho Danchev: ZDNet Asia and TorrentReactor IFRAME-ed
• [6] "About Security"-Folgen zu Cross-Site-Scripting:
  • About Security #14: Cross-Site-Scripting
  • About Security #15: Cross-Site-Scripting verhindern
  • About Security #129: Cross-Site-Scripting, reloaded
  • About Security #130: DOM-basiertes XSS abwehren
  • About Security #131: XSS-Angriffe (1)
  • About Security #132: XSS-Angriffe (2)
  • About Security #133: XSS-Angriffe (3): JavaScript-Ping & Co.
  • About Security #134: XSS-Angriffe (4): JavaScript-Portscan
  • About Security #135: XSS-Angriffe (5): JavaScript-Portscan vorbereiten
  • About Security #136: XSS-Angriffe (6): DSL-Router ausspähen
  • About Security #137: XSS-Angriffe (7): Weitere Ziele
  • About Security #158: Schwachstellen-Suche: Einfaches XSS
  • About Security #159: Schwachstellen-Suche: XSS trotz Filter
  • About Security #160: Schwachstellen-Suche: XSS finden
  • About Security #161: Schwachstellen-Suche: XSS verhindern
  • About Security #162: Schwachstellen-Suche: Persistentes XSS
  • About Security #163: Schwachstellen-Suche: Persistentes XSS (2)
  • About Security #164: Schwachstellen-Suche: Persistentes XSS (3)
  • About Security #165: Schwachstellen-Suche: DOM-basiertes XSS
• [7] Handler's Diary des ISC: Watch that .htaccess file on your web site
• [8] Handler's Diary des ISC: Mass website hosting = mass defacements
• [9] Microsoft Security Bulletin MS08-041
• [10] How to stop an ActiveX control from running in Internet Explorer

---

Clickjacking - Eine neue Bedrohung

Im Entwickler Magazin 1/2009 ist ein Artikel über Clickjacking erschienen.

Die zugehörige Demo steht hier als ZIP-Archive zum Download bereit.

Links

• [1] Jeremiah Grossman: (Cancelled) / Clickjacking - OWASP AppSec Talk
• [2] Guy Aharonovsky: Malicious camera spying using ClickJacking
• [3] Robert Hansen: Clickjacking Details
• [4] Grossman/Hansen: Clickjacking
• [5] Michal Zalewski: [whatwg] Dealing with UI redress vulnerabilities inherent to the current web
• [6] NoScript

---

AJAX, aber sicher

Im Entwickler Magazin 2/2008 ist ein Artikel über die Sicherheit von AJAX erschienen.

Links

• [1] Amit Klein: DOM Based Cross Site Scripting or XSS of the Third Kind
• [2] Brian Chess, Yekaterina Tsipenyuk O'Neil, Jacob West: JavaScript Hijacking; Fortify Software (PDF)
• [3] Beschreibung des MySpace-Wurms Samy
• [4] XSS (Cross Site Scripting) Cheat Sheet
• [5] Paros Proxy

---

Web Security Special

Im Entwickler Magazin 1/2008 gab es ein Web Security Special, zu dem ich drei Artikel beigetragen habe: "Spürhunde - Schwachstellenscans im Web 2.0", "LAMPenfiber - Linux, Apache, MySQL und PHP sicher konfigurieren" und "Firewall vor dem Wigwam" (ModSecurity - eine WebApplication Firewall (WAF) als Apache-Modul).

Links

"Spürhunde - Schwachstellenscans im Web 2.0"

• [1] Schwachstellen-Scanner (nicht nur) für das Web 2.0
• [2] XSS (Cross Site Scripting) Cheat Sheet

"LAMPenfiber - Linux, Apache, MySQL und PHP sicher konfigurieren"

• [1] PHP safe_mode

"Firewall vor dem Wigwam"

• [1] ModSecurity
• [2] ModSecuirty Core Rule Set
• [3] Christian Wenz: Reguläre Ausdrücke

---

Webmaster, webmaster@ceilers-it.de

Letzte Änderung: 04.03.2019, 00:15