s c i p a g Contents 1. Editorial scip monthly Security Summary

Save this PDF as:
 WORD  PNG  TXT  JPG

Größe: px
Ab Seite anzeigen:

Download "s c i p a g Contents 1. Editorial scip monthly Security Summary 19.04.2012"

Transkript

1 scip monthly Security Summary Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Risikomanagement am Beispiel der Kernkraft Man erinnert sich ungern an die Zeit des Zwischenfalls in Fukushima. Zu real ist die Bedrohung, die von Zwischenfällen wie diesem ausgeht. Als die Ereignisse noch sehr frisch waren, wurden rege und emotional die Risiken von Kernkraftwerken diskutiert. Plötzlich schien sich jeder mit den Risiken entsprechender Lösungen auszukennen. Tatsächlich - und dies habe ich in meinem unmittelbaren Umfeld erfahren - wurde sehr viel Halbwissen und Unsinn erzählt. Ein Grossteil der Leute, die sich nicht mit Risikomanagement auskennen, haben für die rigorose Abschaltung sämtlicher Kernkraftwerke plädiert. Dem hatte ich jeweils nur ein Wort entgegenzusetzen: Wieso? Tragweite der Auswirkungen eines Zwischenfalls illustriert. Das Risiko der Eintrittswahrscheinlichkeit, und diese ist für die Erfüllung der Auswirkungen zwingend erforderlich, wurde noch nicht angesprochen. In den allermeisten Fällen ist jetzt der Zeitpunkt erreicht, bei dem sich die Leute argumentativ in die Enge gedrängt fühlen. Man bezieht sich dann schnell auf Fukishima, das nicht für die Situation von Erdbeben und Tsunami ausgerichtet wurde. Man habe bei der Erarbeitung der Anlage Risiken ignoriert. Offensichtlich konnte die Anlage nicht mit den besagten Ereignissen umgehen. Es handelt sich aber auch um ein bis dato einmaliges Ereignis, das sich statistisch nicht in offensichtlicher Weise voraussagen liess. Also eine Eventualität, die schlichtweg ignoriert werden musste. Ein gewisses Entsetzen zeichnet sich auf den Gesichtern meiner Gesprächspartner ab. Risiken ignorieren? Nein, sowas dürfe man niemals tun, wird dann gesagt. Doch wir tun es jeden Tag. Wir überqueren die Strasse, manchmal sogar abseits des Fussgängerstreifens, obwohl ein realistisches Risiko eines Unfalls besteht. Im Auto fahren wir mehr als 2 km/h, obwohl erst ab dieser Geschwindigkeit das Risiko eines Schleudertraumas besteht. usw. Das Leben besteht im Abschätzen, Vermindern und Akzeptieren von Risiken. Manche Risiken will man nicht akzeptieren. Manche Risiken kann man verringern. Kann oder will man gewisse Risiken nicht vermindern, spricht man von Restrisiken. Die spontanen Antworten waren, dass man Kernkraft schlichtweg nicht sicher betreiben könne. Und spätestens dann, wenn das Wort "sicher" gefallen ist, dann fühle ich mich in der Diskussion zu Hause. Denn so stellte ich die nächste Frage: Wieso ist es denn nicht sicher? Kernkraftwerke seien nicht sicher, weil sich bei einem Zwischenfall verheerende Folgen entfalten würden. Explosion und atomare Strahlung würden in unmittelbarer und langwieriger Weise zu Krankheit und Tod führen. Dem will ich nicht widersprechen, doch beantwortet es meine Frage nicht. Damit wird schliesslich nur die hohe Mit den Restrisiken muss man leben. Wollen wir Strom aus Kernkraft, dann müssen wir die Restrisiken akzeptieren. Betrachtet man die Eintrittswahrscheinlichkeit von gefährlichen Zwischenfällen, dann wurden die Risiken soweit sehr gut verringert. Sie aber gänzlich zu eliminieren, das bleibt auch hier - genauso wie beim Autofahren - schlichtweg nicht möglich. Wenn wir nun rigoros Kernkraft abschalten, dann müssten wir genauso rigoros Fussgänger und das Fahren mit mehr als 2 km/h verbieten. Und viele andere Sachen auch (Alkohol, Lifte/Treppen, Pilze, etc.). Stattdessen sollten wir 1/15

2 scip monthly Security Summary den geplanten Ausstieg aus der Atomkraft angehen und endlich auf erneuerbare Energiegewinnung setzen. Die Rückkehr zu Kohlekraftwerken darf beispielsweise nicht passieren, denn dies wäre meines Erachtens ein schlimmer Rückschritt. Auch wenn das akute Risiko, wie man es von der Kernkraft her kennt, hier nicht bestehen bliebe. Marc Ruef <maru-at-scip.ch> Security Consultant Zürich, 19. März 2 2. scip AG Informationen 2.1 Penetration Test Das Ziel unserer Dienstleistung Penetration Test ist die Identifikation vorhandener Sicherheitslücken sowie die Definierung der Tragweite dadurch möglicher erfolgreicher Attacken durch Angreifer. Der Kunde hat ein abgesichertes System vorliegen, das er mittels Ethical Hacking untersucht haben möchte. Um eine wissenschaftliche und wirtschaftliche Optimierung des Auftrags erreichen zu können, wird eine Whitebox-Analyse empfohlen: Der Kunde legt nach Möglichkeiten sämtliche Details zum Zielobjekt offen (IP- Adressen etc.). Somit kann unser Red Team auf eine langwierige Datensammlung verzichten und stattdessen das Expertenwissen auf die Fachgebiete fokussieren. Das Umsetzen von Penetration Tests basiert zu grossen Teilen auf der systematischen Vorgehensweise, wie sie im Buch Die Kunst des Penetration Testing unseres Herrn Marc Ruef dokumentiert wurde. Scanning: Identifizieren von möglichen Angriffsflächen. Auswertung: Eingrenzen potentieller Angriffsvektoren, die sich im Rahmen eines konkreten Angriffsszenarios angehen lassen. Exploiting: Zielgerichtetes Ausnutzen ausgemachter Sicherheitslücken (Proof-of- Concept). Ein Penetration Test lässt eine konkrete und verlässliche Aussage bezüglich der existenten Sicherheit eines Systems zu. Die Ausnutzbarkeit von Schwachstellen sowie die Tragweite erfolgreicher Attacken können exakt bestimmt werden, wodurch sich weitere Schritte wie z.b. Risiken akzeptieren oder Gegenmassnahmen einleiten, planen lassen. Dank unserem ausgewiesenen Expertenwissen kann die scip AG auf eine Vielzahl von Penetration Tests auf unterschiedliche Plattformen, Applikationen und Lösungen zurückblicken. Zählen auch Sie auf uns! Zögern Sie nicht und kontaktieren Sie unseren Herrn Simon Zumstein unter der Telefonnummer oder senden Sie im eine Mail an 2/15

3 scip monthly Security Summary Neue Sicherheitslücken Die erweiterte Auflistung hier besprochener Schwachstellen sowie weitere Sicherheitslücken sind unentgeltlich in unserer Datenbank unter einsehbar. Inhalt Das Dienstleistungspaket VulDB Alert System liefern Ihnen jene Informationen, die genau für Ihre Systeme relevant sind: sehr kritisch 3 kritisch 6 18 problematisch McAfee Web Gateway HTTP Header Host Field Parser CONNECT Request erweiterte Rechte 5176 Squid Proxy HTTP Header Host Field Parser CONNECT Request erweiterte Rechte 58 Microsoft SQL Server CREATE DATABASE SQL Injection 547 Microsoft.NET Framework Parameter Validator erweiterte Rechte 544 Microsoft Internet Explorer SelectAll Handler 543 Microsoft Internet Explorer OnReadyStateChange 542 Microsoft Internet Explorer JScript9 541 Microsoft Internet Explorer Printing 576 PHP html&#95error file&#95get&#95contents() Cross Site Scripting 563 Google Chrome Applying Style Command Handler 562 Google Chrome Media Handler [CVE-374] 561 Google Chrome SVG Resource Handler 559 Google Chrome HTMLMediaElement Handler 579 Cisco WebEx Player WRF File Handler 578 Cisco WebEx Player WRF File Handler atas32.dll 577 Cisco WebEx Player WRF File Handler atdl6.dll 553 Novell imanager Web Interface jclient Create Attribute 524 IBM Cognos TM1 Admin Server 511 TYPO3 Backend Cross Site Scripting [CVE-2-166] 4977 D-Link DCS-565 DcsCliCtrl.dll SelectDirectory() 4947 RealNetworks RealPlayer MP4 File Handler mp4fformat.dll 4949 Apache Struts File Upload XSLTResult.java XSLT File Command Injection 4955 Apache Traffic Server HTTP Header Parser 497 FreePBX callme&#95page.php erweiterte Rechte 3.1 McAfee Web Gateway HTTP Header Host Field Parser CONNECT Request erweiterte Rechte Datum: VulDB: Eine kritische Schwachstelle wurde in McAfee Web Gateway 7. entdeckt. Betroffen ist eine unbekannte Funktion der Komponente HTTP Header Host Field Parser. Durch das Beeinflussen durch CONNECT Request kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Dies hat Auswirkungen auf die Integrität. Als bestmögliche Massnahme wird das Einsetzen von restriktivem Firewalling empfohlen. 3.2 Squid Proxy HTTP Header Host Field Parser CONNECT Request erweiterte Rechte Datum: VulDB: In Squid Proxy wurde eine kritische Schwachstelle entdeckt. Davon betroffen ist eine unbekannte Funktion der Komponente HTTP Header Host Field Parser. Mittels dem Manipulieren durch CONNECT Request kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Dies hat Auswirkungen auf die 3/15

4 scip monthly Security Summary Integrität. Als bestmögliche Massnahme wird das Anwenden von restriktivem Firewalling empfohlen. 3.3 Microsoft SQL Server CREATE DATABASE SQL Injection Datum: VulDB: In Microsoft SQL Server 5/8/8R2 wurde eine kritische Schwachstelle entdeckt. Davon betroffen ist die Funktion CREATE DATABASE. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine SQL Injection- Schwachstelle ausgenutzt werden. Dadurch lässt sich Datenbank zugreifen. Die genauen Auswirkungen eines erfolgreichen Angriffs sind bisher nicht bekannt. Ein Upgrade auf die Version MSSQL Server 8: apply SP3, MSSQL Server 8 R2: nofix, MSSQL Server 5: no fix. vermag dieses Problem zu beheben. Die Schwachstelle lässt sich auch durch das Einspielen des Patches SP3 beheben. Dieser kann von microsoft.com bezogen werden. Als bestmögliche Massnahme wird das Einspielen des entsprechenden Patches empfohlen. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle. Microsoft hat demnach vorab 3.4 Microsoft.NET Framework Parameter Validator erweiterte Rechte Datum: VulDB: In Microsoft.NET Framework bis 4 wurde eine kritische Schwachstelle entdeckt. Davon betroffen ist eine unbekannte Funktion der Komponente Parameter Validator. Durch die Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Dies hat Auswirkungen auf Vertraulichkeit und Integrität. 3.5 Microsoft Internet Explorer SelectAll Handler Datum: VulDB: In Microsoft Internet Explorer bis 9 wurde eine kritische Schwachstelle entdeckt. Davon betroffen ist eine unbekannte Funktion der Komponente SelectAll Handler. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine -Schwachstelle ausgenutzt werden. Dadurch lässt sich Programmcode ausführen. Dies hat Die Schwachstelle lässt sich durch das Einspielen des Patches KB beheben. Dieser kann von technet.microsoft.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Microsoft hat demnach sofort 3.6 Microsoft Internet Explorer OnReadyStateChange Datum: VulDB: Es wurde eine kritische Schwachstelle in Microsoft Internet Explorer bis 9 entdeckt. Dies betrifft eine unbekannte Funktion der Komponente OnReadyStateChange. Durch das Manipulieren mit einer unbekannten Eingabe kann eine -Schwachstelle ausgenutzt werden. Dadurch lässt sich Programmcode ausführen. Dies hat Die Schwachstelle lässt sich durch das Einspielen des Patches KB lösen. Dieser kann von technet.microsoft.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Microsoft hat demnach sofort Die Schwachstelle lässt sich durch das Einspielen des Patches ms12-25 lösen. Dieser kann von technet.microsoft.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Microsoft hat demnach sofort 3.7 Microsoft Internet Explorer JScript9 Datum: VulDB: 4/15

5 scip monthly Security Summary Eine kritische Schwachstelle wurde in Microsoft Internet Explorer bis 9 entdeckt. Betroffen ist eine unbekannte Funktion der Komponente JScript9. Das Manipulieren mit einer unbekannten Eingabe kann eine -Schwachstelle ausgenutzt werden. Dadurch lässt sich Programmcode ausführen. Dies hat Die Schwachstelle lässt sich durch das Einspielen des Patches KB beheben. Dieser kann von technet.microsoft.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Microsoft hat demnach sofort 3.8 Microsoft Internet Explorer Printing Datum: VulDB: In Microsoft Internet Explorer bis 9 wurde eine kritische Schwachstelle entdeckt. Davon betroffen ist eine unbekannte Funktion der Komponente Printing. Durch die Manipulation mit einer unbekannten Eingabe kann eine -Schwachstelle ausgenutzt werden. Dadurch lässt sich Programmcode ausführen. Dies hat Auswirkungen auf Vertraulichkeit, Integrität und Die Schwachstelle lässt sich durch das Einspielen des Patches KB lösen. Dieser kann von technet.microsoft.com bezogen werden. Das Problem kann zusätzlich durch den Einsatz von Google Chrome, Mozilla Firefox, Opera als alternatives Produkt mitigiert werden. Als bestmögliche Massnahme wird das Installieren des jeweiligen Patches empfohlen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Microsoft hat demnach sofort 3.9 PHP html&#95error file&#95get&#95contents() Cross Site Scripting Datum: VulDB: Es wurde eine kritische Schwachstelle in PHP 5.3.1/5.4. entdeckt. Dies betrifft die Funktion file_get_contents() der Komponente html&#95error. Die Manipulation mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Dies hat Auswirkungen auf Vertraulichkeit, Integrität und Als bestmögliche Massnahme wird das Deaktivieren der betroffenen Komponente empfohlen. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Die Entwickler haben demnach unmittelbar 3.1 Google Chrome Applying Style Command Handler Datum: VulDB: Eine kritische Schwachstelle wurde in Google Chrome entdeckt. Betroffen ist eine unbekannte Funktion der Komponente Applying Style Command Handler. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine -Schwachstelle ausgenutzt werden. Dies hat Auswirkungen auf Vertraulichkeit, Integrität und Ein Aktualisieren auf die Version vermag dieses Problem zu lösen. Das direkt nach der Veröffentlichung der Schwachstelle. Google hat demnach sofort 3.11 Google Chrome Media Handler [CVE-374] Datum: VulDB: In Google Chrome wurde eine kritische Schwachstelle entdeckt. Davon betroffen ist eine unbekannte Funktion der Komponente Media Handler. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine -Schwachstelle ausgenutzt werden. Dies hat Auswirkungen auf Vertraulichkeit, Integrität und Ein Upgrade auf die Version vermag dieses Problem zu beheben. Das direkt nach der Veröffentlichung der Schwachstelle. Google hat demnach sofort 5/15

6 scip monthly Security Summary Google Chrome SVG Resource Handler Datum: VulDB: Es wurde eine kritische Schwachstelle in Google Chrome entdeckt. Dies betrifft eine unbekannte Funktion der Komponente SVG Resource Handler. Durch das Manipulieren mit einer unbekannten Eingabe kann eine -Schwachstelle ausgenutzt werden. Dies hat Auswirkungen auf Vertraulichkeit, Integrität und Ein Aktualisieren auf die Version vermag dieses Problem zu lösen. Das direkt nach der Veröffentlichung der Schwachstelle. Google hat demnach sofort 3.13 Google Chrome HTMLMediaElement Handler Datum: VulDB: In Google Chrome wurde eine kritische Schwachstelle entdeckt. Davon betroffen ist eine unbekannte Funktion der Komponente HTMLMediaElement Handler. Durch die Manipulation mit einer unbekannten Eingabe kann eine -Schwachstelle ausgenutzt werden. Dies hat Auswirkungen auf Vertraulichkeit, Integrität und Ein Aktualisieren auf die Version vermag dieses Problem zu lösen. Das direkt nach der Veröffentlichung der Schwachstelle. Google hat demnach sofort 3.14 Cisco WebEx Player WRF File Handler Datum: VulDB: Es wurde eine kritische Schwachstelle in Cisco WebEx Player bis entdeckt. Dies betrifft eine unbekannte Funktion der Komponente WRF File Handler. Durch das Manipulieren mit einer unbekannten Eingabe kann eine - Schwachstelle ausgenutzt werden. Dadurch lässt sich Programmcode ausführen. Dies hat Ein Aktualisieren auf die Version (T27 LC SP25 EP1) vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Cisco hat demnach unmittelbar 3.15 Cisco WebEx Player WRF File Handler atas32.dll Datum: VulDB: Eine kritische Schwachstelle wurde in Cisco WebEx Player bis entdeckt. Betroffen ist eine unbekannte Funktion in der Bibliothek atas32.dll der Komponente WRF File Handler. Das Manipulieren mit einer unbekannten Eingabe kann eine -Schwachstelle ausgenutzt werden. Dadurch lässt sich Programmcode ausführen. Dies hat Ein Upgrade auf die Version (T27 LC SP25 EP1) vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Cisco hat demnach unmittelbar 3.16 Cisco WebEx Player WRF File Handler atdl6.dll Datum: VulDB: In Cisco WebEx Player bis wurde eine kritische Schwachstelle entdeckt. Davon betroffen ist eine unbekannte Funktion in der Bibliothek atdl6.dll der Komponente WRF File Handler. Durch die Manipulation mit einer unbekannten Eingabe kann eine - Schwachstelle ausgenutzt werden. Dies hat Ein Aktualisieren auf die Version (T27 LC SP25 EP1) / (T27 LD SP32 CP1) vermag dieses Problem zu lösen. Das sofort nach der Veröffentlichung der Schwachstelle. Cisco hat demnach unmittelbar 6/15

7 scip monthly Security Summary Novell imanager Web Interface jclient Create Attribute Datum: VulDB: In Novell imanager bis Patch 3 wurde eine kritische Schwachstelle entdeckt. Davon betroffen ist die Funktion jclient Create Attribute der Komponente Web Interface. Durch die Manipulation des Arguments EnteredAttrName mit einer unbekannten Eingabe kann eine -Schwachstelle ausgenutzt werden. Dies hat Auswirkungen auf Vertraulichkeit, Integrität und Ein Aktualisieren auf die Version Patch 4 vermag dieses Problem zu lösen. Das sofort nach der Veröffentlichung der Schwachstelle. Novell hat demnach unmittelbar 3.18 IBM Cognos TM1 Admin Server Datum: VulDB: Eine kritische Schwachstelle wurde in IBM Cognos TM entdeckt. Betroffen ist eine unbekannte Funktion der Komponente Admin Server. Das Manipulieren mit einer unbekannten Eingabe kann eine -Schwachstelle ausgenutzt werden. Dies hat Auswirkungen auf Vertraulichkeit, Integrität und Als bestmögliche Massnahme wird das Einspielen des entsprechenden Patches empfohlen. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. IBM hat demnach unmittelbar 3.19 TYPO3 Backend Cross Site Scripting [CVE-2-166] Datum: VulDB: Schwachstelle ausgenutzt werden. Dies hat Auswirkungen auf Vertraulichkeit und Integrität. Ein Aktualisieren auf die Version , , vermag dieses Problem zu lösen. Dieses kann von typo3.org bezogen werden. Das sofort nach der Veröffentlichung der Schwachstelle. Die Entwickler haben demnach unmittelbar 3.2 D-Link DCS-565 DcsCliCtrl.dll SelectDirectory() Datum: VulDB: Es wurde eine kritische Schwachstelle in D-Link DCS / entdeckt. Dies betrifft die Funktion SelectDirectory() in der Bibliothek DcsCliCtrl.dll. Durch das Manipulieren mit einer unbekannten Eingabe kann eine -Schwachstelle ausgenutzt werden. Dies hat Auswirkungen auf Vertraulichkeit, Integrität und Die Schwachstelle kann durch das Filtern von tcp/8, tcp/443 mittels Firewalling mitigiert werden RealNetworks RealPlayer MP4 File Handler mp4fformat.dll Datum: VulDB: Es wurde eine kritische Schwachstelle in RealNetworks RealPlayer 15.. entdeckt. Dies betrifft eine unbekannte Funktion in der Bibliothek mp4fformat.dll der Komponente MP4 File Handler. Durch das Manipulieren mit einer unbekannten Eingabe kann eine - Schwachstelle ausgenutzt werden. Dies hat Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an. In TYPO3 bis /4.5.14/4.6.7, ein Content Management System, wurde eine kritische Schwachstelle entdeckt. Davon betroffen ist eine unbekannte Funktion der Komponente Backend. Durch die Manipulation mit einer unbekannten Eingabe kann eine Cross Site Scripting Apache Struts File Upload XSLTResult.java XSLT File Command Injection Datum: /15

8 scip monthly Security Summary VulDB: Eine kritische Schwachstelle wurde in Apache Struts entdeckt. Betroffen ist eine unbekannte Funktion in der Bibliothek XSLTResult.java der Komponente File Upload. Durch das Beeinflussen durch XSLT File kann eine Command Injection-Schwachstelle ausgenutzt werden. Dies hat Auswirkungen auf Vertraulichkeit und Integrität. Gegenmassnahme geschah vor und nicht erst nach der Veröffentlichung der Schwachstelle. Die Entwickler haben demnach vorgängig Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an Apache Traffic Server HTTP Header Parser Datum: VulDB: Eine kritische Schwachstelle wurde in Apache Traffic Server 3..3/3.1.2 entdeckt. Betroffen ist eine unbekannte Funktion der Komponente HTTP Header Parser. Durch das Beeinflussen des Arguments $_SERVER['HOST'] mit einer unbekannten Eingabe kann eine - Schwachstelle ausgenutzt werden. Dies hat Ein Aktualisieren auf die Version 3..4/3.1.3 vermag dieses Problem zu lösen. Das direkt nach der Veröffentlichung der Schwachstelle. Apache hat demnach sofort 3.24 FreePBX callme&#95page.php erweiterte Rechte Datum: VulDB: Eine kritische Schwachstelle wurde in FreePBX entdeckt. Betroffen ist eine unbekannte Funktion der Komponente callme&#95page.php. Durch das Beeinflussen des Arguments action mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Dies hat Auswirkungen auf Vertraulichkeit und Integrität. Die Schwachstelle lässt sich durch das Einspielen des Patches Unofficial Patch lösen. Dieser kann von archives.neohapsis.com bezogen werden. Das Erscheinen einer 8/15

9 scip monthly Security Summary Statistiken Verletzbarkeiten Die im Anschluss aufgeführten Statistiken basieren auf den Daten der deutschsprachige Verletzbarkeitsdatenbank der scip AG. Zögern Sie nicht uns zu kontaktieren. Falls Sie spezifische Statistiken aus unserer Verletzbarkeitsdatenbank wünschen so senden Sie uns eine an info-at-scip.ch. Gerne nehmen wir Ihre Vorschläge entgegen Auswertungsdatum: 19. März sehr kritisch kritisch problematisch Verlauf der Anzahl Schwachstellen pro Jahr problematisch kritisch sehr kritisch 3 Verlauf der letzten drei Monate Schwachstelle/Schweregrad Unbekannt Authentisierung 3 umgehen 1 Code Injection Command Injection 2 Cross Site Request Forgery Cross Site Scripting Denial of Service Designfehler Directory Traversal 1 3 Eingabeungültigkeit erweiterte Dateirechte 1 2 erweiterte Leserechte 1 erweiterte Rechte erweiterte Zugriffsrechte Fehlende Authentifizierung Fehlende Verschlüsselung Fehlerhafte Leserechte Fehlerhafte Schreibrechte Format String 2 Information Disclosure 3 3 Konfigurationsfehler 14 Programmcode ausführen 19 Race Condition Race-Condition Redirect Remote File Inclusion Schwache Authentifizierung Schwache Verschlüsselung Spoofing 2 5 SQL Injection SQL-Injection 6 Symlink-Schwachstelle 5 1 Verlauf der letzten drei Monate Schwachstelle/Kategorie 9/15

10 scip monthly Security Summary Registrierte Schwachstellen by scip AG Verlauf der Anzahl Schwachstellen pro Monat - Zeitperiode sehr kritisch 1 3 kritisch problematisch Verlauf der Anzahl Schwachstellen/Schweregrad pro Monat - Zeitperiode 2 1/15

11 scip monthly Security Summary Unbekannt 1 94 Authentisierung umgehen 1 3 Code Injection 1 Command Injection 5 2 Cross Site Request Forgery Cross Site Scripting Denial of Service Designfehler Directory Traversal Eingabeungültigkeit erweiterte Dateirechte erweiterte Leserechte 1 erweiterte Rechte erweiterte Zugriffsrechte Fehlende Authentifizierung Fehlende Verschlüsselung Fehlerhafte Leserechte Fehlerhafte Schreibrechte Format String 1 2 Information Disclosure Konfigurationsfehler 14 Programmcode ausführen Race Condition Race-Condition Redirect Remote File Inclusion Schwache Authentifizierung Schwache Verschlüsselung Spoofing 2 5 SQL Injection SQL-Injection 6 Symlink-Schwachstelle 5 1 Verlauf der Anzahl Schwachstellen/Kategorie pro Monat - Zeitperiode 2 11/15

12 scip monthly Security Summary Registrierte Schwachstellen by scip AG Verlauf der Anzahl Schwachstellen pro Quartal seit / sehr kritisch kritisch problematisch Verlauf der Anzahl Schwachstellen/Schweregrad pro Quartal seit /3 12/15

13 scip monthly Security Summary Unbekannt Authentisierung umgehen 4 Code Injection 1 Command Injection 7 Cross Site Request Forgery 1 1 Cross Site Scripting Denial of Service Designfehler Directory Traversal Eingabeungültigkeit erweiterte Dateirechte 4 erweiterte Leserechte 1 erweiterte Rechte erweiterte Zugriffsrechte Fehlende Authentifizierung Fehlende Verschlüsselung Fehlerhafte Leserechte Fehlerhafte Schreibrechte Format String Information Disclosure Konfigurationsfehler Programmcode ausführen Race Condition Race-Condition Redirect 1 Remote File Inclusion 1 Schwache Authentifizierung Schwache Verschlüsselung Spoofing 1 6 SQL Injection 3 2 SQL-Injection Symlink-Schwachstelle Verlauf der Anzahl Schwachstellen/Kategorie pro Quartal seit / /15

14 scip monthly Security Summary Labs In unseren scip Labs werden unter regelmässig Neuigkeiten und Forschungsberichte veröffentlicht. 5.1 Kompromittierung einer Sprachmailbox Marc Ruef, maru-at-scip.ch Um auf eine Sprachmailbox (engl. Voic ) zugreifen zu können, muss sich bei dieser Authentisiert werden. Hierzu werden zwei unterschiedliche Verfahren eingesetzt: 1. Identifikation anhand der Rufnummer 2. Authentisierung anhand einer PIN Die erstgenannte Möglichkeit wird typischerweise genutzt, um die Nachrichten für die eigene Nummer abhören zu können. Die zweite Möglichkeit wird als Alternative eingesetzt, wobei durch Fernzugriffe auf ab anderen Geräten die Nachrichten abgehört werden können. Angriffe auf Sprachmailbox Das Klonen und Spoofen von Telefonnummern ist jenachdem möglich, bedingt aber ein relativ hohes Verständnis für die zugrundeliegenden Technologien. Zudem muss die Konfiguration der Umgebung und des Routings, welche durch den Telefonanbieter vorgenommen wird, verschiedene Schwächen aufweisen (z.b. kein Durchsetzen von Rufnummern, kein striktes Routing). Diese Angriffsmöglichkeit wird heutzutage am ehesten im Voice-over-IP Bereich interessant. Das Kompromittieren einer Sprachmailbox wird aber typischerweise durch die Möglichkeit des Fernzugriffs umgesetzt. Diese Angriffstechnik ist verhältnismässig primitiv und auch aus anderen Bereichen übertragbar. Hierzu wird ein Anruf auf die Sprachmailbox getätigt und dann versucht den PIN zu erraten. Viele Telekommunikationsanbieter erlauben bis stellige PINs. Diese sind oftmals bei der Aufschaltung einer Nummer vordefiniert und es wurde immerwieder berichtet, dass Standard-PINs (z.b oder die letzten 4 Stellen der Telefonnummer) zum Tragen kommen. Der Benutzer kann in der Regel seinen PIN ändern und auch hier ist das altbekannte Problem der Wahl schwacher Passwörter zu beobachten. Gern genutze PINs sind in der Regel (in dieser Hinsicht ist die statistische Auswertung von Daniel Amitay wegweisend): Einfach zu merkende Zahlenreihen (z.b. 1234, 1515) Geburtsdaten, Jahrestage (z.b. 7, 1981) Muster auf der Tastatur (z.b. 1245, 258) Manche Anbieter erlauben ein beliebiges Durchprobieren des PINs bis zur erfolgreichen Authentisierung. Dadurch werden Bruteforce-Attacken, die sich mit entsprechenden DTMF-Lösungen automatisieren lassen, möglich. Bestimmte Anbieter benachrichtigen hingegen den Anschlussinhaber per SMS, falls eine mehrfache Falscheingabe erfolgt ist. Konnte sich Zugriff auf die Sprachmailbox verschafft werden, können entsprechende Manipulationen vorgenommen werden. Einerseits lassen sich die Konfigurationseinstellungen ändern (z.b. Funktion abschalten, PIN ändern). Andererseits können die bestehenden Mitteilungen abgehört und gelöscht werden. Desweiteren besteht in der Regel die Möglichkeit, einen Rückruf umzusetzen. Dabei wird der Absender einer vorliegenden Nachricht zurückgerufen. Interessant dabei ist, dass oftmals der Anruf selbst nicht vom externen Gerät, sondern vom Anschluss der abgehörten Sprachmailbox getätigt wird. Auf dem Display des zurückgerufenen Geräts wird sodann die Rufnummer Sprachmailbox angezeigt und auch auf diesen Anschluss eine Verrechnung vorgenommen. Durch diese Angriffstechnik wird es möglich, dass zusätzliche Kosten generiert werden. Der Angreifer ruft von einer kostenpflichtigen Nummer, die sich in seinem Besitz befindet, auf die Sprachmailbox an. Danach wählt er sich in diese ein und initiiert einen Rückruf. Die dabei anfallenden Kosten werden dem Opfer aufgerechnet. Gegenmassnahmen In erster Linie kann sich der Telefonanbieter darum bemühen, Massnahmen zum Verhindern bzw. Erschweren dieser Angriffsmöglichkeit einzuführen. Fehlerhafte Login-Versuche auf die Sprachmailbox sollten protokolliert und ausgewertet werden. Mehrmalige Zugriffe dieser Art sollten eine Benachrichtigung des Anschlussinhabers und eine temporäre Sperrung von Fernzugriffen (diese kann auch nur ein paar Minuten anhalten) zur Folge haben. Zudem kann der Telefonanbieter darum bemüht sein, mittels Anomaly Detection ein abnormales Anrufverhalten zu identifizieren. Normalerweise werden zum Beispiel innerhalb einer Woche 5 Anrufe getätigt, bei denen Kosten von CHF 14/15

15 scip monthly Security Summary anfallen. Werden die Woche darauf drei Mal so viele Anrufe und ein fünffaches Kostenvolumen identifiziert, sollte wiederum der Anschlussinhaber informiert und bei extremen Abweichungen eine Anrufsperre durchgesetzt werden. (Uns sind Fälle bekannt, bei denen die Kosten eines erfolgreichen Betrugs das hundertfache der üblichen Kosten erreicht hat.) Der Telefonanbieter sollte beim Einrichten der Sprachmailbox entweder Fernzugriffe gänzlich sperren oder einen zufällig gewählten PIN vordefinieren. Ebenso sind Benutzer angehalten, die von ihnen gewählten PINs möglichst lang und komplex ausfallen zu lassen. Ein regelmässiges Ändern der PINs (z.b. einmal pro Jahr) reduziert das Fenster für erfolgreichen Missbrauch erheblich. 6. Impressum Herausgeber: scip AG Badenerstrasse 551 CH-848 Zürich T info-at-scip.ch Zuständige Person: Marc Ruef Security Consultant T maru-at-scip.ch scip AG ist eine unabhängige Aktiengesellschaft mit Sitz in Zürich. Seit der Gründung im September 2 fokussiert sich die scip AG auf Dienstleistungen im Bereich Information Security. Unsere Kernkompetenz liegt dabei in der Überprüfung der implementierten Sicherheitsmassnahmen mittels Penetration Tests und Security Audits und der Sicherstellung zur Nachvollziehbarkeit möglicher Eingriffsversuche und Attacken (Log- Management und Forensische Analysen). Vor dem Zusammenschluss unseres spezialisierten Teams waren die meisten Mitarbeiter mit der Implementierung von Sicherheitsinfrastrukturen beschäftigen. So verfügen wir über eine Reihe von Zertifizierungen (Solaris, Linux, Checkpoint, ISS, Cisco, Okena, Finjan, TrendMicro, Symantec etc.), welche den Grundstein für unsere Projekte bilden. Das Grundwissen vervollständigen unsere Mitarbeiter durch ihre ausgeprägten Programmierkenntnisse. Dieses Wissen äussert sich in selbst geschriebenen Routinen zur Ausnutzung gefundener Schwachstellen, dem Coding einer offenen Exploiting- und Scanning Software als auch der Programmierung eines eigenen Log- Management Frameworks. Den kleinsten Teil des Wissens über Penetration Test und Log- Management lernt man jedoch an Schulen nur jahrelange Erfahrung kann ein lückenloses Aufdecken von Schwachstellen und die Nachvollziehbarkeit von Angriffsversuchen garantieren. Einem konstruktiv-kritischen Feedback gegenüber sind wir nicht abgeneigt. Denn nur durch angeregten Ideenaustausch sind Verbesserungen möglich. Senden Sie Ihr Schreiben an Das Errata (Verbesserungen, Berichtigungen, Änderungen) der scip monthly Security Summarys finden Sie online. Der Bezug des scip monthly Security Summary ist kostenlos. Anmelden! Abmelden! 15/15

s c i p a g Contents 1. Editorial scip monthly Security Summary

s c i p a g Contents 1. Editorial scip monthly Security Summary scip monthly Security Summary 19.1.2 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Whitehate

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.04.2009

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.04.2009 Contents 1. Editorial. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken 5. Bilderrätsel 6. Impressum 1. Editorial Prinzip der Datenklassifizierung Wer an Computersicherheit denkt, der denkt

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary

s c i p a g Contents 1. Editorial scip monthly Security Summary Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Einstieg in die Informationssicherheit Die Welt

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.07.2009

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.07.2009 scip monthly Security Summary 19.7.9 Contents 1. Editorial. scip AG Informationen 3. Neue Sicherheitslücken. Statistiken Verletzbarkeiten 5. Bilderrätsel. Impressum 1. Editorial Despotische Demokratie

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

Schwachstellenanalyse 2012

Schwachstellenanalyse 2012 Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 7: 29.5.2015 Sommersemester 2015 h_da Heiko Weber, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie

Mehr

Die Informationen in diesem Artikel beziehen sich auf: Einleitung

Die Informationen in diesem Artikel beziehen sich auf: Einleitung Die Informationen in diesem Artikel beziehen sich auf:? Microsoft ISA Server 2004 Einleitung Der ISA 2004 bietet als erste Firewall Lösung von Microsoft die Möglichkeit, eine Benutzer Authentifizierung

Mehr

UCS 2.4 Sicherheits-Update 3

UCS 2.4 Sicherheits-Update 3 UCS 2.4 Sicherheits-Update 3 Thema: Änderungen im Sicherheitsupdate 3 für UCS 2.4 Datum: 3. Mai 2011 Seitenzahl: 7 Versionsnummer: 8598 Autoren: Univention GmbH feedback@univention.de Univention GmbH Mary-Somerville-Straße

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.05.2009

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.05.2009 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Impressum 1. Editorial Das Cookie ist mächtiger als das Schwert Unsere Firma

Mehr

Betroffene Produkte: Alle Versionen von Oracle Forms (3.0-10g, C/S und Web), Oracle Clinical, Oracle Developer Suite

Betroffene Produkte: Alle Versionen von Oracle Forms (3.0-10g, C/S und Web), Oracle Clinical, Oracle Developer Suite Zusammenfassung: Alle Oracle Forms Anwendungen sind per Default durch SQL Injection angreifbar. Oracle Applications >=11.5.9 ist davon nicht betroffen, da hier standardmäßig der Wert FORMSxx_RESTRICT_ENTER_QUERY

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary

s c i p a g Contents 1. Editorial scip monthly Security Summary Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Elektronische Einbruchserkennung - Ein missverstandenes

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.08.2009

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.08.2009 scip monthly Security Summary 19.8.9 Contents 1. Editorial. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Wer rechnen

Mehr

quickterm 5.5.2 Systemvoraussetzungen Version: 1.0

quickterm 5.5.2 Systemvoraussetzungen Version: 1.0 quickterm 5.5.2 Systemvoraussetzungen Version: 1.0 16.02.2015 Inhaltsverzeichnis Inhaltsverzeichnis 1 Systemvoraussetzungen quickterm Server 3 2 Systemvoraussetzungen quickterm Client 5 3 Systemvoraussetzungen

Mehr

Der Weg zu Ihrem Online-Konto mit PIN/TAN

Der Weg zu Ihrem Online-Konto mit PIN/TAN Der Weg zu Ihrem Online-Konto mit PIN/TAN Allgemeines zur Kontensicherheit/Sicherheitshinweis Wir machen Sie darauf aufmerksam, dass die Sparkasse keine vertraulichen Daten (z.b. PIN und/oder TAN) per

Mehr

quickterm 5.6.0 Systemvoraussetzungen Version: 1.0

quickterm 5.6.0 Systemvoraussetzungen Version: 1.0 quickterm 5.6.0 Systemvoraussetzungen Version: 1.0 06.07.2015 Inhaltsverzeichnis Inhaltsverzeichnis 1 Server 3 2 Client 5 3 Web 6 4 Studio Plug-In 7 2 quickterm 5.6.0 - Systemvoraussetzungen Server 1 1

Mehr

Daniel Schalberger, SySS GmbH 1. Typische Schwachstellen im Online-Handel, Prävention. Dipl. Inform. Daniel Schalberger, Syss GmbH

Daniel Schalberger, SySS GmbH 1. Typische Schwachstellen im Online-Handel, Prävention. Dipl. Inform. Daniel Schalberger, Syss GmbH 11.12.2012 Daniel Schalberger, SySS GmbH 1 LIVE-HACKING, Typische Schwachstellen im Online-Handel, Prävention Dipl. Inform. Daniel Schalberger, Syss GmbH 11.12.2012 Daniel Schalberger, SySS GmbH 2 Daniel

Mehr

P106: Hacking IP-Telefonie

P106: Hacking IP-Telefonie P106: Hacking IP-Telefonie Referent: Christoph Bronold BKM Dienstleistungs GmbH 2005 BKM Dienstleistungs GmbH Angriffe auf ein IP-Telefonie Netzwerk Vorgehensweise eines Voice Hackers Best-Practices Designrichtlinien

Mehr

Protect 7 Anti-Malware Service. Dokumentation

Protect 7 Anti-Malware Service. Dokumentation Dokumentation Protect 7 Anti-Malware Service 1 Der Anti-Malware Service Der Protect 7 Anti-Malware Service ist eine teilautomatisierte Dienstleistung zum Schutz von Webseiten und Webapplikationen. Der

Mehr

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn Aktuelle Angriffstechniken Steffen Tröscher cirosec GmbH, Heilbronn Gliederung Angriffe auf Webanwendungen Theorie und Live Demonstrationen Schwachstellen Command Injection über File Inclusion Logische

Mehr

Konzept zur Migration Joomla auf Version 3.x

Konzept zur Migration Joomla auf Version 3.x PUBLIK Internetservice, Am Halbach 10, 45478 Mülheim Michael Gatz-Kippert Am Halbach 10 45478 Mülheim an der Ruhr Tel: +49 208 74049876 Fax: +49 208 74049821 http://www.publik.ruhr Samstag, 2. August 2014

Mehr

easylearn Systemvoraussetzungen

easylearn Systemvoraussetzungen - 1 - easylearn Systemvoraussetzungen Betriebssystem easylearn kann auf den folgenden Serverbetriebssystemen installiert werden. Windows 2000 Windows 2003 Windows 2008 Internetzugang zu easylearn Academy

Mehr

Die Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface.

Die Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface. Die Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface. Inhaltsverzeichnis Erste Schritte Anmelden 2 Startseite 3 Dateimanager 4 CargoLink 5 Freigaben 6

Mehr

Sicherheits-Leitfaden

Sicherheits-Leitfaden Sicherheits-Leitfaden Sehr geehrter Kunde, bei dem von Ihnen genutzten Angebot handelt es sich um Webspace auf einem Shared-Server. Dies bedeutet, dass auf einem Server mehrere Kunden gehostet werden.

Mehr

MetaQuotes Empfehlungen zum Gebrauch von MetaTrader 5 auf Mac OS

MetaQuotes Empfehlungen zum Gebrauch von MetaTrader 5 auf Mac OS MetaQuotes Empfehlungen zum Gebrauch von MetaTrader 5 auf Mac OS Auch wenn viele kommerzielle Angebote im Internet existieren, so hat sich MetaQuotes, der Entwickler von MetaTrader 5, dazu entschieden

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.11.2010

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.11.2010 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Geschlossene Systeme und ihre Zukunft am Beispiel

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.10.2006

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.10.2006 scip monthly Security Summary 19.1.6 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Literaturverzeichnis 7. Impressum 1. Editorial

Mehr

isicore IDS/IPS auf Anwendungsebene Public IT Security 2012 Maxemilian Hilbrand

isicore IDS/IPS auf Anwendungsebene Public IT Security 2012 Maxemilian Hilbrand isicore IDS/IPS auf Anwendungsebene Public IT Security 2012 Maxemilian Hilbrand Vorstellung isicore isicore GmbH ist ein Softwarehaus mit Sitz in Wipperfürth (NRW) Entwicklung von systemnaher Software

Mehr

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick:

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick: Beweisen Sie Ihre Sicherheit! Unser Security Scan ist eine Sicherheitsmaßnahme, die sich auszahlt. Systeme ändern sich ständig. Selbst Spezialisten kennen nicht alle Schwachstellen im Detail. Der PCI Scan

Mehr

DriveLock 6. DriveLock und das Windows Sicherheitsproblem mit LNK Dateien. CenterTools Software GmbH

DriveLock 6. DriveLock und das Windows Sicherheitsproblem mit LNK Dateien. CenterTools Software GmbH 6 DriveLock und das Windows Sicherheitsproblem mit LNK Dateien CenterTools Software GmbH 2010 Copyright Die in diesen Unterlagen enthaltenen Angaben und Daten, einschließlich URLs und anderen Verweisen

Mehr

Anleitung für Webcasts

Anleitung für Webcasts Anleitung für Webcasts 2 INHALT ALLGEMEINES Inhalt 1. Allgemeines... 2 2. Vorbereitung auf das Webcast... 3 3 Einladung zu einem Webcast... 3 4. Teilnahme über Smartphone oder Tablet-PC... 4 Anlagen...

Mehr

Einrichtung des D-Link Routers als Accesspoint Für DI-524 Rev.B und Rev.G Basierend auf der aktuellen Deutschen Firmware

Einrichtung des D-Link Routers als Accesspoint Für DI-524 Rev.B und Rev.G Basierend auf der aktuellen Deutschen Firmware Einrichtung des D-Link Routers als Accesspoint Für DI-524 Rev.B und Rev.G Basierend auf der aktuellen Deutschen Firmware Haben Sie von Ihrem Kabelprovider ein Modem-Router-Kombigerät erhalten und möchten

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Top Findings bei Security Audits. DI (FH) Wolfgang Köppl

Top Findings bei Security Audits. DI (FH) Wolfgang Köppl Top Findings bei Security Audits DI (FH) Wolfgang Köppl DI(FH) Wolfgang Köppl Top Findings bei Security Audits Absolvent Studiengang und Mediensicherheit / FH Hagenberg Gründer des Hagenberger Kreises,

Mehr

MetaQuotes Empfehlungen zum Gebrauch von

MetaQuotes Empfehlungen zum Gebrauch von MetaQuotes Empfehlungen zum Gebrauch von MetaTrader 4 auf Mac OS Auch wenn viele kommerzielle Angebote im Internet existieren, so hat sich MetaQuotes, der Entwickler von MetaTrader 4, dazu entschieden

Mehr

1. Ich möchte mich zum e-invoicing anmelden, kenne jedoch meine euroshell Kundennummer bzw. meine Buchungsnummer nicht. Wo finde ich sie?

1. Ich möchte mich zum e-invoicing anmelden, kenne jedoch meine euroshell Kundennummer bzw. meine Buchungsnummer nicht. Wo finde ich sie? Antworten auf häufig gestellte FrageN zum thema e-invoicing Allgemeine Fragen: 1. Ich möchte mich zum e-invoicing anmelden, kenne jedoch meine euroshell Kundennummer bzw. meine Buchungsnummer nicht. Wo

Mehr

Fernzugriff auf Kundensysteme. Bedienungsanleitung für Kunden

Fernzugriff auf Kundensysteme. Bedienungsanleitung für Kunden inquiero Fernzugriff auf Kundensysteme Bedienungsanleitung für Kunden Bahnhofstrasse 1, CH-8304 Wallisellen Tel.: +41 (0)44 205 84 00, Fax: +41 (0)44 205 84 01 E-Mail: info@elray-group.com, www.elray-group.com

Mehr

Magento Application Security. Anna Völkl / @rescueann

Magento Application Security. Anna Völkl / @rescueann Magento Application Security Anna Völkl / @rescueann Anna Völkl @rescueann Magento Certified Developer PHP seit 2004 Magento seit 2011 IT & Telekommunikation (BSc), IT-Security (MSc) LimeSoda (Wien, AT)

Mehr

Die Herausforderungen in der Logfileanalyse zur Angriffserkennung

Die Herausforderungen in der Logfileanalyse zur Angriffserkennung Die Herausforderungen in der Logfileanalyse zur Angriffserkennung Patrick Sauer, M.Sc. 29.01.2014 V1.0 Agenda Zielstellung Vorstellung: Wer bin ich, was mache ich? Angriffe und die Auswirkungen in den

Mehr

Installationshandbuch. Erforderliche Konfiguration Installation und Aktivierung

Installationshandbuch. Erforderliche Konfiguration Installation und Aktivierung Installationshandbuch Erforderliche Konfiguration Installation und Aktivierung Erforderliche Konfiguration Programme der 4D v12 Produktreihe benötigen folgende Mindestkonfiguration: Windows Mac OS Prozessor

Mehr

ab Redirector-Version 2.14

ab Redirector-Version 2.14 Installation: FilterSurf ab Redirector-Version 2.14 Hier werden nun die Schritte erläutert, die nacheinander zu durchlaufen sind, um einen der zentralen FilterSurf -Server verwenden zu können. Die Installationsschritte

Mehr

nachfolgend erhalten Sie eine kurze Anleitung, wie Sie Ihren Zugang zum KWP Web-Portal anfordern und einrichten!

nachfolgend erhalten Sie eine kurze Anleitung, wie Sie Ihren Zugang zum KWP Web-Portal anfordern und einrichten! KWP Web-Portal 1 Sehr geehrter Anwender, nachfolgend erhalten Sie eine kurze Anleitung, wie Sie Ihren Zugang zum KWP Web-Portal anfordern und einrichten! Im Anschluss an die Einrichtung stellen wir Ihnen

Mehr

Benutzeranleitung. PrivaSphere Secure Messaging. Outlook AddIn Variante 2. Konto

Benutzeranleitung. PrivaSphere Secure Messaging. Outlook AddIn Variante 2. Konto PrivaSphere Secure Messaging Outlook AddIn Variante 2. Konto Benutzeranleitung PrivaSphere bietet in Zusammenarbeit mit Infover AG ein Outlook AddIn für Secure Messaging an. Diese Anleitung verhilft Ihnen

Mehr

MetaQuotes Empfehlungen zum Gebrauch von MetaTrader 4 auf Mac OS

MetaQuotes Empfehlungen zum Gebrauch von MetaTrader 4 auf Mac OS MetaQuotes Empfehlungen zum Gebrauch von MetaTrader 4 auf Mac OS Auch wenn viele kommerzielle Angebote im Internet existieren, so hat sich MetaQuotes, der Entwickler von MetaTrader 4, dazu entschieden

Mehr

IT Systeme / Mobile Kommunikation HOB privacy-cube - Remote Desktop Zugang über das Internet

IT Systeme / Mobile Kommunikation HOB privacy-cube - Remote Desktop Zugang über das Internet IT Systeme / Mobile Kommunikation HOB privacy-cube - Remote Desktop Zugang über das Internet Seite 1 / 5 HOB privacy-cube Wir können ihnen das Gerät nach ihren Wünschen vorkonfigurieren. Angaben des Herstellers

Mehr

Cloud-Computing. Selina Oertli KBW 28.10.2014

Cloud-Computing. Selina Oertli KBW 28.10.2014 2014 Cloud-Computing Selina Oertli KBW 0 28.10.2014 Inhalt Cloud-Computing... 2 Was ist eine Cloud?... 2 Wozu kann eine Cloud gebraucht werden?... 2 Wie sicher sind die Daten in der Cloud?... 2 Wie sieht

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.12.2006

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.12.2006 scip monthly Security Summary 19.12.6 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Literaturverzeichnis 7. Impressum 1. Editorial

Mehr

Advoware Onlineakte Diktatdienst und die Diktierapp Dictate + Connect

Advoware Onlineakte Diktatdienst und die Diktierapp Dictate + Connect Advoware Onlineakte Diktatdienst und die Diktierapp Dictate + Connect Vorgehensweise zur Nutzung von Advoware und der Diktierapp Dictate + Connect... 4 Anlegen des Sicherheitspassworts in Advoware... 4

Mehr

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5. Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich

Mehr

Audit von Authentifizierungsverfahren

Audit von Authentifizierungsverfahren Audit von Authentifizierungsverfahren Walter Sprenger, Compass Security AG Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel +41 55-214 41 60 Fax +41 55-214 41 61 team@csnc.ch

Mehr

Überprüfung von Oracle- Datenbanken nach dem BSI Grundschutz- Standard

Überprüfung von Oracle- Datenbanken nach dem BSI Grundschutz- Standard Überprüfung von Oracle- Datenbanken nach dem BSI Grundschutz- Standard Inhalt BSI Grundschutz Datenbanken Überprüfung der Datenbanken mit dem McAfee Security Scanner for Databases (DSS) BSI: B 5.7 Datenbanken

Mehr

Posteo: E-Mail sicher und anonym

Posteo: E-Mail sicher und anonym http://www.macwelt.de/ratgeber/posteo-und-a... Server in Deutschland Posteo: E-Mail sicher und anonym Autor: Thomas Armbrüster 13.08.2014, 14:58 E-Mail, Adressbuch und Kalender bekommt man bei Apple und

Mehr

Aktuelle Bedrohungen im Internet

Aktuelle Bedrohungen im Internet Aktuelle Bedrohungen im Internet Max Klaus, MELANI Bedrohungen von Webanwendungen Reto Inversini, BIT Botnetze webreaders.de/wp-content/uploads/2008/01/botnetz.jpg ISB / NDB Melde- und Analysestelle Informationssicherung

Mehr

1. Schritt: Benutzerkontensteuerung aktivieren

1. Schritt: Benutzerkontensteuerung aktivieren Inhalt: 1. Schritt: Benutzerkontensteuerung aktivieren 2. Schritt: Firewall aktivieren 3. Schritt: Virenscanner einsetzen 4. Schritt: Automatische Updates aktivieren 5. Schritt: Sicherungskopien anlegen

Mehr

Wie steht es um die Sicherheit in Software?

Wie steht es um die Sicherheit in Software? Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die

Mehr

Häufig gestellte fragen zu Professional officedrive

Häufig gestellte fragen zu Professional officedrive Häufig gestellte fragen zu Professional officedrive Allgemeine Fragen Was ist Professional OfficeDrive? Professional OfficeDrive ist ein Filesharing System. Mit Professional OfficeDrive kann ein Unternehmen

Mehr

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit SZENARIO BEISPIEL Implementation von Swiss SafeLab M.ID mit Citrix Redundanz und Skalierbarkeit Rahmeninformationen zum Fallbeispiel Das Nachfolgende Beispiel zeigt einen Aufbau von Swiss SafeLab M.ID

Mehr

Apps am Smartphone. Vortrag am Fleckenherbst Bürgertreff Neuhausen. www.buergertreff-neuhausen.de www.facebook.com/buergertreffneuhausen

Apps am Smartphone. Vortrag am Fleckenherbst Bürgertreff Neuhausen. www.buergertreff-neuhausen.de www.facebook.com/buergertreffneuhausen Apps am Smartphone Vortrag am Fleckenherbst Bürgertreff Neuhausen 1 Inhalt Was sind Apps Woher bekomme ich Apps Sind Apps kostenlos Wie sicher sind Apps Wie funktionieren Apps App-Vorstellung Die Google

Mehr

Supply Chain Summit 2011 RISIKO-MANAGEMENT UND SUPPLY CHAIN

Supply Chain Summit 2011 RISIKO-MANAGEMENT UND SUPPLY CHAIN Supply Chain Summit 2011 RISIKO-MANAGEMENT UND SUPPLY CHAIN GLIEDERUNG Intro Risiko-Management Was bedeutet Risiko-Managment? Wie wird Risiko-Management umgesetzt? Nutzen von Risiko-Management Relevanz

Mehr

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Webapplikationen wirklich sicher? 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Die wachsende Bedrohung durch Web-Angriffen Test, durchgeführt von PSINet und Pansec 2 "dummy" Web-Sites

Mehr

ERNW Newsletter 23 / April 2007

ERNW Newsletter 23 / April 2007 ERNW Newsletter 23 / April 2007 Liebe Partner, liebe Kollegen, willkommen zur 23ten Ausgabe des ERNW-Newsletters mit dem Thema: Neuigkeiten aus dem Untergrund Ein Bericht der Blackhat Europe 2008 Version

Mehr

Zugriff auf die Installation mit dem digitalstrom- Konfigurator mit PC und Mac

Zugriff auf die Installation mit dem digitalstrom- Konfigurator mit PC und Mac Zugriff auf die Installation mit dem digitalstrom- Konfigurator mit PC und Mac Zusatz zum digitalstrom Handbuch VIJ, aizo ag, 15. Februar 2012 Version 2.0 Seite 1/10 Zugriff auf die Installation mit dem

Mehr

Patch Management mit

Patch Management mit Patch Management mit Installation von Hotfixes & Patches Inhaltsverzeichnis dieses Dokuments Einleitung...3 Wie man einen Patch installiert...4 Patch Installation unter UliCMS 7.x.x bis 8.x.x...4 Patch

Mehr

Einrichtung des D-Link Routers als Accesspoint Für DIR-615 Rev.D Basierend auf der aktuellen Firmware mit installiertem Deutschen Sprachpaket

Einrichtung des D-Link Routers als Accesspoint Für DIR-615 Rev.D Basierend auf der aktuellen Firmware mit installiertem Deutschen Sprachpaket Einrichtung des D-Link Routers als Accesspoint Für DIR-615 Rev.D Basierend auf der aktuellen Firmware mit installiertem Deutschen Sprachpaket Haben Sie von Ihrem Kabelprovider ein Modem-Router-Kombigerät

Mehr

Update und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten

Update und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten Update und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten Der Konfigurations-Assistent wurde entwickelt, um die unterschiedlichen ANTLOG-Anwendungen auf den verschiedensten Umgebungen automatisiert

Mehr

Installation SQL- Server 2012 Single Node

Installation SQL- Server 2012 Single Node Installation SQL- Server 2012 Single Node Dies ist eine Installationsanleitung für den neuen SQL Server 2012. Es beschreibt eine Single Node Installation auf einem virtuellen Windows Server 2008 R2 mit

Mehr

PC Software PPS-FM11 Windows Auswertung und Monitor BDE Betriebsdatenerfassung mit Terminals, RFID und SQL Client

PC Software PPS-FM11 Windows Auswertung und Monitor BDE Betriebsdatenerfassung mit Terminals, RFID und SQL Client PC Software PPS-FM11 Windows Auswertung und Monitor BDE Betriebsdatenerfassung mit Terminals, RFID und SQL Client DOC PPSFM11 Win - AE SYSTEME www.terminal-systems.de Seite 1 Inhaltsverzeichnis PPS-FM11

Mehr

! " # $ " % & Nicki Wruck worldwidewruck 08.02.2006

!  # $  % & Nicki Wruck worldwidewruck 08.02.2006 !"# $ " %& Nicki Wruck worldwidewruck 08.02.2006 Wer kennt die Problematik nicht? Die.pst Datei von Outlook wird unübersichtlich groß, das Starten und Beenden dauert immer länger. Hat man dann noch die.pst

Mehr

COMPUTER MULTIMEDIA SERVICE

COMPUTER MULTIMEDIA SERVICE Umgang mit Web-Zertifikaten Was ist ein Web-Zertifikat? Alle Webseiten, welche mit https (statt http) beginnen, benötigen zwingend ein Zertifikat, welches vom Internet-Browser eingelesen wird. Ein Web

Mehr

Installationsanleitung: Krutec Access Managementsystem (AMS)

Installationsanleitung: Krutec Access Managementsystem (AMS) Installationsanleitung: Krutec Access Managementsystem (AMS) Für Windows XP/Vista/Win7 inklusive SQL Express Datenbank. Seite Vorgang 02-02 Installationshinweise 03-06 Installation des Krutec Access Management

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

Anleitung zur Citrix Anmeldung

Anleitung zur Citrix Anmeldung We keep IT moving Anleitung zur Citrix Anmeldung Version 1.1 Datum: 17.11.2015 WienIT EDV Dienstleistungsgesellschaft mbh & Co KG Thomas-Klestil-Platz 6 A-1030 Wien Telefon: +43 (0)1 904 05-0 Fax: +43

Mehr

Wir bieten Ihnen innovatives Mobile Marketing

Wir bieten Ihnen innovatives Mobile Marketing Wir bieten Ihnen innovatives Mobile Marketing TIT-PIT GmbH Allmendstrasse 8 8320 Fehraltorf Tel. 044-956 58 58 Fax 044-955 04 15 info@comhouse.ch www.comhouse.ch Einführung Facts SMS generieren zusätzliche

Mehr

Mobilkommunikation Basisschutz leicht gemacht. 10 Tipps zum Umgang mit mobilen Geräten

Mobilkommunikation Basisschutz leicht gemacht. 10 Tipps zum Umgang mit mobilen Geräten www.bsi-fuer-buerger.de Ins Internet mit Sicherheit! Mobilkommunikation Basisschutz leicht gemacht 10 Tipps zum Umgang mit mobilen Geräten Mobilkommunikation Vorwort Mobilkommunikation Basisschutz leicht

Mehr

ZMI Benutzerhandbuch Sophos. Sophos Virenscanner Benutzerhandbuch

ZMI Benutzerhandbuch Sophos. Sophos Virenscanner Benutzerhandbuch ZMI Benutzerhandbuch Sophos Sophos Virenscanner Benutzerhandbuch Version: 1.0 12.07.2007 Herausgeber Zentrum für Medien und IT ANSCHRIFT: HAUS-/ZUSTELLADRESSE: TELEFON: E-MAIL-ADRESSE: Zentrum für Medien

Mehr

Vorgehensweise für Tierärzte

Vorgehensweise für Tierärzte Herzlich Willkommen! Seit August 2010 steht das web-basierte Untersuchungsportal für den GRSK e.v. komplett zur Verfügung. Tierärzte können die angefertigten Aufnahmen hochladen, Vereine können die Aufnahmen

Mehr

Sicherheit in der Datenkommunikation Wie viel Sicherheit ist möglich und nötig? Christoph Sorge Universität Paderborn

Sicherheit in der Datenkommunikation Wie viel Sicherheit ist möglich und nötig? Christoph Sorge Universität Paderborn Sicherheit in der Datenkommunikation Wie viel Sicherheit ist möglich und nötig? Christoph Sorge Universität Paderborn Fachgebiet Codes & Kryptographie, Prof. Dr. Johannes Blömer Zentrum für Informations-

Mehr

Caching Handbuch. Auftraggeber: Version: 01. INM Inter Network Marketing AG Usterstrasse 202 CH-8620 Wetzikon

Caching Handbuch. Auftraggeber: Version: 01. INM Inter Network Marketing AG Usterstrasse 202 CH-8620 Wetzikon Caching Handbuch Auftraggeber: Version: 01 Projekttyp: Erstellt durch: Internet David Bürge INM Inter Network Marketing AG Usterstrasse 202 CH-8620 Wetzikon Email david.buerge@inm.ch URL http://www.inm.ch

Mehr

Das simond Handbuch by Peter H. Grasch. Copyright 2009-2010 Peter Grasch. simond ist die Serverkomponente der simon Spracherkennungslösung.

Das simond Handbuch by Peter H. Grasch. Copyright 2009-2010 Peter Grasch. simond ist die Serverkomponente der simon Spracherkennungslösung. Das simond Handbuch Das simond Handbuch by Peter H. Grasch Copyright 2009-2010 Peter Grasch simond ist die Serverkomponente der simon Spracherkennungslösung. Permission is granted to copy, distribute and/or

Mehr

Intrusion Detection and Prevention

Intrusion Detection and Prevention Intrusion Detection and Prevention 19-05-2008: Chaos Computer Club Lëtzebuerg 21-05-2008: Chaos Computer Club Trier Vortragender: Kabel Aufbau Einführung - Was ist Intrusion Detection - Unterschiede zwischen

Mehr

PGP Benutzerhandbuch

PGP Benutzerhandbuch Tobias Wagner Linz, 29.07.2009 OÖ Gesundheits- und Spitals AG GesundheitsInformatik Netzwerk- und Sicherheitsinfrastruktur Krankenhausstr. 26-30 4020 Linz Telefon: +43 50 554 63 52320 E-mail: hot.nsi.gi@gespag.at

Mehr

Secure Mail. Leitfaden für Kunden & Partner der Libera AG. Zürich, 11. November 2013

Secure Mail. Leitfaden für Kunden & Partner der Libera AG. Zürich, 11. November 2013 Secure Mail Leitfaden für Kunden & Partner der Libera AG Zürich, 11. November 2013 Aeschengraben 10 Postfach CH-4010 Basel Telefon +41 61 205 74 00 Telefax +41 61 205 74 99 Stockerstrasse 34 Postfach CH-8022

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.08.2011

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.08.2011 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Back to the Future Ich bin ein unermüdlicher Verfechter

Mehr

Sicherheitsanalyse der Private Cloud Interfaces von

Sicherheitsanalyse der Private Cloud Interfaces von Sicherheitsanalyse der Private Cloud Interfaces von Emanuel Durmaz Ruhr-Universität Bochum 1 Emanuel Durmaz 10/16: Bachelor of Science IT-Sicherheit, Ruhr-Universität Bochum Thesis: Sicherheitsanalyse

Mehr

Zugriff auf OWA Auf OWA kann über folgende URLs zugegriffen werden:

Zugriff auf OWA Auf OWA kann über folgende URLs zugegriffen werden: Anleitung zur Installation der Exchange Mail Lösung auf Android 2.3.5 Voraussetzung für die Einrichtung ist ein vorliegender Passwortbrief. Wenn in der folgenden Anleitung vom Extranet gesprochen wird

Mehr

Lebenszyklus einer Schwachstelle

Lebenszyklus einer Schwachstelle GRUNDLAGEN STATISTIKEN BERICHTE Lebenszyklus einer Schwachstelle Nach Bekanntwerden einer neuen Zero-Day-Schwachstelle hat der Hersteller ein Advisory veröffentlicht, in dem bis zur Fertigstellung eines

Mehr

Datenschutztag. Eine Präsentation von Mateusz Gwara, Philipp Leder, Paul Panser und Patrick Wilke

Datenschutztag. Eine Präsentation von Mateusz Gwara, Philipp Leder, Paul Panser und Patrick Wilke Datenschutztag Eine Präsentation von Mateusz Gwara, Philipp Leder, Paul Panser und Patrick Wilke 1. Website Security Gliederung 2. Viren, Trojaner & Antivirensoftware 3. Phishing & Gefahren des World Wide

Mehr

Baustein Webanwendungen. Stephan Klein, Jan Seebens

Baustein Webanwendungen. Stephan Klein, Jan Seebens Baustein Webanwendungen Stephan Klein, Jan Seebens Agenda Bedrohungslage für Webanwendungen Baustein Webanwendungen 1) Definition und Abgrenzung 2) Goldene Regeln 3) Spezifische Gefährdungen 4) Spezifische

Mehr

Häufigste Security-Lücken

Häufigste Security-Lücken Häufigste Security-Lücken Andreas Wisler GO OUT Production GmbH Dipl. Ing FH, CISSP, ISO 27001 Lead Auditor www.gosecurity.ch / wisler@goout.ch Agenda Gefahren Social Engineering Penetration Test Interne

Mehr