s c i p a g Contents 1. Editorial scip monthly Security Summary

Größe: px
Ab Seite anzeigen:

Download "s c i p a g Contents 1. Editorial scip monthly Security Summary 19.08.2011"

Transkript

1 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Back to the Future Ich bin ein unermüdlicher Verfechter der darwinistischen Evolutionstheorie. Das Überleben des Stärkeren fasziniert mich dahingehend, dass durch dieses Konzept eine ständige Weiterentwicklung erzwungen wird. Darwinismus ist aber nicht nur ein Konzept, das sich auf biologische Mechanismen anwenden lässt. Ebenso ist es in anderen Gebieten, dazu kann ebenfalls der Fachbereich der Informationstechnologie gezählt werden, einsetzbar. Im Computerbereich setzen sich in der Regel ebenfalls jene Methoden, Mechanismen und Technologien durch, die am elegantesten und effizientesten sind. Klar, auch hier gibt es soziologische und ökonomische Effekte zu beobachten, die aus Sicht des Darwinismus nicht oder nur indirekt nachvollziehbar sind (die Einfachheit des iphones lässt so manchen Benutzer über die restriktive Geschlossenheit des Systems hinwegsehen und trotzdem scheint der Tradeoff bestehen bleiben zu können). Alles in allem führen aber die meisten Entwicklungen dazu, das schlussendlich die besseren davon weiterexistieren können. Dies hat zu wunderbaren Lösungen geführt, die die elektronische Datenverarbeitung bereichert hat. Dinge, die man vor Jahren noch in mühseliger Weise von Hand durchführen musste, können heute zu grossen Teilen automatisiert werden. Im Bereich der Bildbearbeitung finden sich eine Vielzahl an wunderschönen Beispielen, die die jeweils jüngere Generation in ihrer Retrospektive gar nicht mehr nachvollziehen kann. "Was, das hat man früher von Hand gemacht", wird man entsetzt gefragt. Soweit, sogut. Und doch gibt es immerwieder Situationen, in denen hoffnungslos veraltete und ineffiziente Mechanismen überleben, aus technologischer Sicht ist es oftmals ein unliebsames dahinsiechen, können. Da werden beispielsweise vielerorts auch heute noch grosse Datenmengen manuell gefiltert und weiterverarbeitet Und dies, obwohl Parsing Mechanismen samt regulären Ausdrücken schon lange ihre Mächtigkeit bewiesen haben. Dass sowohl die Geschwindigkeit als auch die Zuverlässigkeit einer manuellen Abarbeitung abhanden kommt, das wird im aktionären Wahn schlichtweg übergangen. Vorzugsweise Firmen grösserer Struktur pflegen auf archaischen Stilmitteln festzusitzen. Die Effizienz der Arbeiten sinken in den Keller, doch da man sich nichts anderes gewohnt ist, macht man weiter wie bisher. Ich selbst habe grosse Mühe damit. Mein Magen beginnt zu schmerzen und meine Augen zu tränen, werde ich gezwungen, wie in den 8er Jahren zu arbeiten. Und dies will was heissen, pflege ich nämlich freiwillig einige ganz archaische Mechanismen vorzuziehen (z.b. im Bereich des Windows Skripting ziehe ich VBS oftmals der eigentlich viel mächtigeren Powershell vor). In meinem BlogPost Ich lebe für Automation habe ich begründet und in Soziale Virtualisierung und ihre Automation bewiesen, dass automatisierte Mechanismen unabdingbar an die Informatik geknüpfte Vorteile vereinen. Wer sich derer nicht bemächtigen möchte, der ist in diesem Bereich falsch aufgehoben. Das Erbsenzählen überlassen wir, soll es denn nicht ein Computer für uns übernehmen, den Erbsenzählern. Marc Ruef <maruatscip.ch> Security Consultant Zürich, 15. August 211 1/16

2 2. scip AG Informationen 2.1 Source Code Review Software bestimmt unseren Alltag. Sei dies nun in der Auslösung von Finanztransaktionen, dem Verfassen einer , der täglichen Arbeitszeiterfassung oder der Konfiguration eines Webservers. Eine Applikation versteht sich selbst als eine Aneinanderreihung von Funktionen zur Bewältigung eines wohlgeformten Problems. Dabei kommt eine zusätzliche Logik, die sich für Entscheidungen innerhalb der Verarbeitung verantwortlich zeichnet, zum Einsatz. Vorzugsweise in sicherheitskritischen Bereichen stellen sich nun etliche Fragen wie z.b. ob ein Angreifer aus dem ihm durch die Software zugewiesenen Kontexte ausbrechen kann und dadurch seine Privilegien erweitern kann oder ob er gar durch das Ausnutzen programmiertechnischer Fehler Zugriff auf das System an sich erlangen kann. Diese und andere Fragestellungen können durch Source Code Reviews beantwortet werden. Entsprechend den Vorgaben des Kunden und der zu prüfenden Software werden unterschiedliche Test umgesetzt. Eine kleine Auswahl ist nachfolgend aufgelistet: Algorithmisches Debugging Delta Debugging Explizites Debugging Statisches Debugging Statistisches Debugging Program Slicing Dank unserer langjährigen Erfahrung in diesem Fachgebiet inklusive der Programmierung eigener Analysesoftware und unserem ausgewiesenen Expertenwissen haben wir als scip AG die Ehre die unterschiedlichsten Applikationen namhafter nationaler und internationaler Unternehmungen überprüft zu haben und dabei geholfen haben diese abzusichern. Zählen auch Sie auf uns! Zögern Sie nicht und kontaktieren Sie unseren Herrn Simon Zumstein unter der Telefonnummer oder senden Sie ihm eine Mail an 2/16

3 3. Neue Sicherheitslücken Die erweiterte Auflistung hier besprochener sowie weitere Sicherheitslücken sind unentgeltlich in unserer Datenbank unter einsehbar. Inhalt Das Dienstleistungspaket VulDB Alert System liefern Ihnen jene Informationen, die genau für Ihre Systeme relevant sind: Jul 11 Aug 11 sehr kritisch kritisch 4 5 problematisch Apple Safari verschiedene 44 BlackBerry Enterprise Server PNG and TIFF Image Processing 4399 Adobe Flash Player verschiedene 4398 Microsoft Internet Explorer Internet Explorer Iframe Cookie Disclosure 4397 Microsoft.NET Framework Chart Control File Disclosure Schwachstelle 4396 Microsoft Windows TCP/IP Stack Denial of Service 4395 Windows Client Server Runtime Subsystem Privilege Escalation 4394 Microsoft Windows DNS Service Domain Lookup Denial of Service Schwachstelle 4393 Microsoft Windows DNS Service verschiedene 4392 Windows Remote Access Service NDISTAPI Driver Privilege Escalation 4391 Microsoft.NET Framework Socket Restriction Bypass 439 Microsoft Windows Remote Desktop Web Access CrossSite Scripting 4389 Microsoft Windows Remote Desktop Protocol Denial of Service Vulnerability 4388 Microsoft Windows Kernel File Metadata Parsing Denial of Service 4387 Apple QuickTime verschiedene 4386 Microsoft Windows CSRSS "SrvGetConsoleTitle()" Type Casting Schwachstelle 4385 Google Chrome verschiedene 4384 Apple ios "basicconstraints" X.59 Certificate Chain Validation Schwachstelle 4383 Microsoft Internet Explorer verschiedene 3.1 Apple Safari verschiedene Risiko: kritisch Datum: VulDB: Safari ist ein Webbrowser des Unternehmens Apple für das hauseigene Betriebssystem Mac OS X und seit dem 11. Juni 7 auch für Microsoft Windows, zunächst als Betaversion, seit Version 3.1 als stabile Version, erhältlich. Safari gehört zum Lieferumfang von Mac OS X ab der Version 1.3 ("Panther") und ersetzte den vorher mitgelieferten Microsoft Internet Explorer für Mac als StandardBrowser. Ein Kollektiv von Researchern (siehe Original Advisory für Credits) identifizierte diverse in aktuellen Versionen des Produktes. Die gelisteten sind teilweise als kritisch zu betrachten und können teilweise zur kompletten Kompromittierung des Zielsystems führen. Die vorliegenden sind als teilweise kritisch zu betrachten und sollten zeitnah durch das Einspielen entsprechender kumulativer Patchpakete oder individueller Patches mitigiert werden. 3.2 BlackBerry Enterprise Server PNG and TIFF Image Processing Risiko: kritisch Datum: VulDB: BlackBerry ist ein tragbares Gerät (Smartphone), speziell zum Lesen und Schreiben von s. Die von dem kanadischen Unternehmen Research In Motion (RIM) entwickelte Lösung für drahtlose Kommunikation und Verwaltung persönlicher Daten (Personal Information Manager) umfasst eine ClientServerArchitektur, 3/16

4 ein proprietäres Protokoll zwischen Clients und Servern und eine Serie von Endgeräten (Smartphones) von RIM. Die Netzverbindung wird über eine GPRS/EDGE, UMTS oder WLANAnbindung hergestellt. Die Firma RIM identifizierte diverse in aktuellen Versionen des Produktes. Die gelisteten sind teilweise als kritisch zu betrachten und können teilweise zur kompletten Kompromittierung des Zielsystems führen. Die vorliegenden sind als teilweise kritisch zu betrachten und sollten zeitnah durch das Einspielen entsprechender kumulativer Patchpakete oder individueller Patches mitigiert werden. 3.3 Adobe Flash Player verschiedene Risiko: kritisch Datum: VulDB: Adobe Flash (kurz Flash, ehemals Macromedia Flash) ist eine proprietäre integrierte Entwicklungsumgebung von Adobe Systems zur Erstellung multimedialer, interaktiver Inhalte. Der Benutzer produziert mit dieser Software Dateien im proprietären SWFFormat. Bekannt und umgangssprachlich gemeint ist Flash als Adobe Flash Player, eine Softwarekomponente zum Betrachten dieser SWFDateien. Ein Kollektiv von Researchern (siehe Original Advisory für Credits) identifizierte diverse in aktuellen Versionen des Produktes. Die gelisteten sind teilweise als kritisch zu betrachten und können teilweise zur kompletten Kompromittierung des Zielsystems führen. Die vorliegenden sind als teilweise kritisch zu betrachten und sollten zeitnah durch das Einspielen entsprechender kumulativer Patchpakete oder individueller Patches mitigiert werden. 3.4 Microsoft Internet Explorer Internet Explorer Iframe Cookie Disclosure Datum: VulDB: Der Internet Explorer (offiziell Windows Internet Explorer, früher Microsoft Internet Explorer; Abkürzung: IE oder MSIE) ist ein Webbrowser des Softwareherstellers Microsoft für dessen Betriebssystem Windows. Seit Windows 95B ist der Internet Explorer fester Bestandteil dieser Betriebssysteme. Bei älteren WindowsVersionen kann er nachinstalliert werden. Die aktuelle Version ist Internet Explorer 9. Der Researcher Rosario Valotta identifizierte unlängst eine Schwachstelle (Designfehler) in aktuellen Versionen der vorliegenden Applikation. Durch die Ausnutzung der vorliegenden Schwachstelle kann unter Umständen beliebiger Code zur Ausführung gebracht werden, was zur Kompromittierung des Systems führen kann. Die vorliegende Schwachstelle ist als kritisch zu betrachten und sollte zeitnah gepatcht werden. 3.5 Microsoft.NET Framework Chart Control File Disclosure Schwachstelle Datum: VulDB: bezeichnet eine von Microsoft entwickelte SoftwarePlattform zur Entwicklung und Ausführung von Anwendungsprogrammen. Eine zunehmende Anzahl von Programmen benötigt.net als Unterbau, um überhaupt ausgeführt werden zu können..net besteht aus einer Laufzeitumgebung (in der die Programme ausgeführt werden) sowie einer Sammlung von Klassenbibliotheken, Programmierschnittstellen und Dienstprogrammen (Services). Es bietet dem Programmierer viele Lösungen für Standard Aufgaben an, so dass er nur noch die eigentlichen Programmfunktionen erstellen muss. Die Firma Context Information Security beschreibt in einem Advisory eine Schwachstelle (Designfehler) in aktuellen Versionen der Applikation. Ein Angreifer kann durch die vorliegende Schwachstelle beliebigen Code zur Ausführung bringen und somit die Kompromittierung des Systems anstreben. Die vorliegende Schwachstelle kann durchaus kritisch Auswirkungen nach sich ziehen. Betroffene Systeme sollten daher zeitnah gepatcht werden, um eine Kompromittierung zu vermeiden. 3.6 Microsoft Windows TCP/IP Stack Denial of Service Risiko: problematisch 4/16

5 Datum: VulDB: grafische Erweiterung des Betriebssystems MS Entwicklungszweig zugunsten der WindowsNT dargestellt werden. Die Firma Microsoft identifizierte diverse in aktuellen Versionen des Produktes. Die gelisteten sind teilweise als kritisch zu betrachten und können teilweise zur kompletten Kompromittierung des Zielsystems führen. Die vorliegende Schwachstelle kann durchaus kritisch Auswirkungen nach sich ziehen. Betroffene Systeme sollten daher zeitnah gepatcht werden, um eine Kompromittierung zu vermeiden. 3.7 Windows Client Server Runtime Subsystem Privilege Escalation Datum: VulDB: grafische Erweiterung des Betriebssystems MS Entwicklungszweig zugunsten der WindowsNT dargestellt werden. Der Researcher Alex Ionescu der Firma Winsider Seminars & Solutions Inc. beschreibt in einem Advisory eine Schwachstelle (Unbekannt) in aktuellen Versionen der Applikation. Diese Schwäche erlaubt es einem Angreifer, Kontroller über das System zu erlangen und seine Rechte zu erweitern. Diese Schwachstelle ist zwar nicht hochkritisch, kann aber je nach Umgebung und Art des Angriffs durchaus kritische Folgen haben. Betroffene Systeme sollten zeitnah mit Patches versorgt werden. 3.8 Microsoft Windows DNS Service Domain Lookup Denial of Service Schwachstelle Datum: VulDB: grafische Erweiterung des Betriebssystems MS Entwicklungszweig zugunsten der WindowsNT dargestellt werden. Die Firma Microsoft identifizierte unlängst eine Denial of Service Verwundbarkeit in aktuellen Versionen des Produktes. Durch die Ausnutzung der Schwachstelle kann ein Angreifer einen Denial of Service Angriff erzeugen und unter bislang nicht gesicherten Umständen beliebigen Code zur Ausführung bringen. Die vorliegende Schwachstelle ist als kritisch zu betrachten und sollte zeitnah gepatcht werden. 3.9 Microsoft Windows DNS Service verschiedene Risiko: kritisch Datum: VulDB: grafische Erweiterung des Betriebssystems MS Entwicklungszweig zugunsten der WindowsNT dargestellt werden. Ein Kollektiv von 5/16

6 Researchern (siehe Original Advisory für Credits) identifizierte diverse in aktuellen Versionen des Produktes. Die gelisteten sind teilweise als kritisch zu betrachten und können teilweise zur kompletten Kompromittierung des Zielsystems führen. Die vorliegenden sind als teilweise kritisch zu betrachten und sollten zeitnah durch das Einspielen entsprechender kumulativer Patchpakete oder individueller Patches mitigiert werden. 3.1 Windows Remote Access Service NDISTAPI Driver Privilege Escalation Datum: VulDB: grafische Erweiterung des Betriebssystems MS Entwicklungszweig zugunsten der WindowsNT dargestellt werden. Der Researcher Lufeng Li der Firma Neusoft Corporation beschreibt eine PufferüberlaufSchwachstelle in aktuellen Produktversionen. Diese Schwäche erlaubt es einem Angreifer, Kontroller über das System zu erlangen und seine Rechte zu erweitern. Die vorliegende Schwachstelle kann durchaus kritisch Auswirkungen nach sich ziehen. Betroffene Systeme sollten daher zeitnah gepatcht werden, um eine Kompromittierung zu vermeiden Microsoft.NET Framework Socket Restriction Bypass Datum: VulDB: bezeichnet eine von Microsoft entwickelte SoftwarePlattform zur Entwicklung und Ausführung von Anwendungsprogrammen. Eine zunehmende Anzahl von Programmen benötigt.net als Unterbau, um überhaupt ausgeführt werden zu können..net besteht aus einer Laufzeitumgebung (in der die Programme ausgeführt werden) sowie einer Sammlung von Klassenbibliotheken, Programmierschnittstellen und Dienstprogrammen (Services). Es bietet dem Programmierer viele Lösungen für Standard Aufgaben an, so dass er nur noch die eigentlichen Programmfunktionen erstellen muss. Der Researcher Michael J. Liu identifizierte unlängst eine Schwachstelle (Designfehler) in aktuellen Versionen der vorliegenden Applikation. Durch die Ausnutzung der vorliegenden Schwachstelle kann unter Umständen beliebiger Code zur Ausführung gebracht werden, was zur Kompromittierung des Systems führen kann. Die vorliegende Schwachstelle ist als kritisch zu betrachten und sollte zeitnah gepatcht werden Microsoft Windows Remote Desktop Web Access CrossSite Scripting Datum: VulDB: grafische Erweiterung des Betriebssystems MS Entwicklungszweig zugunsten der WindowsNT dargestellt werden Sven Taute beschreibt in einem Advisory eine Schwachstelle (Cross Site Scripting (XSS)) in aktuellen Versionen der Applikation. Die Schwachstelle erlaubt es dem Angreifer XSS (Cross Site Scripting) Angriffe durchzuführen und dadurch beliebigen Kontext im Browser des Opfers zur Ausführung zu bringen. Diese Schwachstelle ist zwar nicht hochkritisch, kann aber je nach Umgebung und Art des Angriffs durchaus kritische Folgen haben. Betroffene Systeme sollten zeitnah mit Patches versorgt werden Microsoft Windows Remote 6/16

7 Desktop Protocol Denial of Service Vulnerability Datum: VulDB: grafische Erweiterung des Betriebssystems MS Entwicklungszweig zugunsten der WindowsNT dargestellt werden. Die Firma Microsoft identifizierte unlängst eine Denial of Service Verwundbarkeit in aktuellen Versionen des Produktes. Durch die Ausnutzung der Schwachstelle kann ein Angreifer einen Denial of Service Angriff erzeugen und damit den Betrieb des Systems und der entsprechenden Umsysteme empfindlich stören. Während diese Schwachstelle nicht zwingend kritisch ist, sollte aufgrund des verbleibenden Restrisikos das zeitnahe Einspielen entsprechender Patches angestrebt werden Microsoft Windows Kernel File Metadata Parsing Denial of Service Datum: VulDB: Angreifer einen Denial of Service Angriff erzeugen und unter bislang nicht gesicherten Umständen beliebigen Code zur Ausführung bringen. Die vorliegende Schwachstelle kann durchaus kritisch Auswirkungen nach sich ziehen. Betroffene Systeme sollten daher zeitnah gepatcht werden, um eine Kompromittierung zu vermeiden Apple QuickTime verschiedene Risiko: kritisch Datum: VulDB: QuickTime ist eine von dem Computerunternehmen Apple entwickelte MultimediaArchitektur für Mac OS und Windows. Diese besteht im Kern aus drei Elementen: dem Framework, dem API und dem Dateiformat. Basisanwendungen, die auf diese Architektur aufbauen, sind zum Beispiel der QuickTime Player, der QuickTime Broadcaster oder der QuickTime Streaming Server. QuickTime wird irrtümlicherweise zumeist auf den QuickTime Player reduziert. Dabei arbeitet es als zugrundeliegender technologischer Unterbau in zahlreichen Applikationen wie zum Beispiel Adobe Premiere, Apple Logic, Optibase Media 1, itunes, Final Cut Pro oder den Avid Videoschnittprogrammen. Ein Kollektiv von Researchern (siehe Original Advisory für Credits) identifizierte diverse in aktuellen Versionen des Produktes. Die gelisteten sind teilweise als kritisch zu betrachten und können teilweise zur kompletten Kompromittierung des Zielsystems führen. grafische Erweiterung des Betriebssystems MS Entwicklungszweig zugunsten der WindowsNT dargestellt werden. Der Researcher Zheng Wenbin (Qihoo 36 Security Center) identifizierte unlängst eine Denial of Service Verwundbarkeit in aktuellen Versionen des Produktes. Durch die Ausnutzung der Schwachstelle kann ein Die vorliegenden sind als teilweise kritisch zu betrachten und sollten zeitnah durch das Einspielen entsprechender kumulativer Patchpakete oder individueller Patches mitigiert werden Microsoft Windows CSRSS "SrvGetConsoleTitle()" Type Casting Schwachstelle Datum: VulDB: 7/16

8 grafische Erweiterung des Betriebssystems MS Entwicklungszweig zugunsten der WindowsNT dargestellt werden. Der Researcher Matthew Jurczyk identifizierte unlängst eine Denial of Service Verwundbarkeit in aktuellen Versionen des Produktes. Durch die Ausnutzung der Schwachstelle kann ein Angreifer einen Denial of Service Angriff erzeugen und unter bislang nicht gesicherten Umständen beliebigen Code zur Ausführung bringen. Diese Schwachstelle ist zwar nicht hochkritisch, kann aber je nach Umgebung und Art des Angriffs durchaus kritische Folgen haben. Betroffene Systeme sollten zeitnah mit Patches versorgt werden Google Chrome verschiedene Risiko: kritisch Datum: VulDB: Google Chrome ist ein Webbrowser, der von Google Inc. entwickelt wird und seit dem 2. September 8 verfügbar ist. Am 11. Dezember 8 erschien die erste finale Version. Zentrales Konzept ist die Aufteilung des Browsers in optisch und auf Prozessebene getrennte BrowserTabs. Ein Kollektiv von Researchern (siehe Original Advisory für Credits) identifizierte diverse in aktuellen Versionen des Produktes. Die gelisteten sind teilweise als kritisch zu betrachten und können teilweise zur kompletten Kompromittierung des Zielsystems führen. Die vorliegenden sind als teilweise kritisch zu betrachten und sollten zeitnah durch das Einspielen entsprechender kumulativer Patchpakete oder individueller Patches mitigiert werden Apple ios "basicconstraints" X.59 Certificate Chain Validation Schwachstelle Datum: VulDB: ios (bis Juni 21 iphone OS) ist das Standard Betriebssystem der AppleProdukte iphone, ipod touch, ipad und der zweiten Generation des Apple TV. ios basiert auf Mac OS X und bietet eine Anbindung zum itunes Store und zum App Store. Der Researcher Paul Kehrer der Firma SpiderLabs veröffentlichte unlängst ein Advisory, indem er eine Schwachstelle (Designfehler) in verschiedenen Versionen des Produktes beschreibt. Die Schwachstelle erlaubt es einem Angreifer die Validierung von gespooften Zertifikaten zu erreichen und damit Man in the Middle Attacken durchzufuehren. Die vorliegende Schwachstelle ist als kritisch zu betrachten und sollte zeitnah gepatcht werden Microsoft Internet Explorer verschiedene Risiko: kritisch Datum: VulDB: Der Internet Explorer (offiziell Windows Internet Explorer, früher Microsoft Internet Explorer; Abkürzung: IE oder MSIE) ist ein Webbrowser des Softwareherstellers Microsoft für dessen Betriebssystem Windows. Seit Windows 95B ist der Internet Explorer fester Bestandteil dieser Betriebssysteme. Bei älteren WindowsVersionen kann er nachinstalliert werden. Die aktuelle Version ist Internet Explorer 9. Ein Kollektiv von Researchern (siehe Original Advisory für Credits) identifizierte diverse in aktuellen Versionen des Produktes. Die gelisteten sind teilweise als kritisch zu betrachten und können teilweise zur kompletten Kompromittierung des Zielsystems führen. Die vorliegenden sind als teilweise kritisch zu betrachten und sollten zeitnah durch das Einspielen entsprechender kumulativer Patchpakete oder individueller Patches mitigiert werden. 8/16

9 4. Statistiken Verletzbarkeiten Die im Anschluss aufgeführten Statistiken basieren auf den Daten der deutschsprachige Verletzbarkeitsdatenbank der scip AG. Zögern Sie nicht uns zu kontaktieren. Falls Sie spezifische Statistiken aus unserer Verletzbarkeitsdatenbank wünschen so senden Sie uns eine an infoatscip.ch. Gerne nehmen wir Ihre Vorschläge entgegen Auswertungsdatum: 19. August sehr kritisch kritisch problematisch Verlauf der Anzahl pro Jahr Jun Jul Aug sehr kritisch 1 kritisch problematisch Verlauf der letzten drei Monate Schwachstelle/Schweregrad Jun Jul Aug Cross Site Scripting (XSS) 4 1 Denial of Service (DoS) 3 5 Designfehler Directory Traversal Eingabeungültigkeit 3 Fehlende Authentifizierung Fehlende Verschlüsselung Fehlerhafte Leserechte Fehlerhafte Schreibrechte Format String 1 1 Konfigurationsfehler Pufferüberlauf RaceCondition Schwache Authentifizierung Schwache Verschlüsselung SQLInjection SymlinkSchwachstelle UmgehungsAngriff Unbekannt 8 3 Verlauf der letzten drei Monate Schwachstelle/Kategorie 9/16

10 Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez Registrierte by scip AG Verlauf der Anzahl pro Monat Zeitperiode Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez sehr kritisch kritisch problematisch Verlauf der Anzahl /Schweregrad pro Monat Zeitperiode 211 1/16

11 Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez Cross Site Scripting (XSS) Denial of Service (DoS) Designfehler Directory Traversal 1 Eingabeungültigkeit Fehlende Authentifizierung Fehlende Verschlüsselung Fehlerhafte Leserechte 1 1 Fehlerhafte Schreibrechte 1 Format String 1 1 Konfigurationsfehler Pufferüberlauf RaceCondition 1 Schwache Authentifizierung 1 Schwache Verschlüsselung SQLInjection 2 SymlinkSchwachstelle 1 UmgehungsAngriff 1 1 Unbekannt Verlauf der Anzahl /Kategorie pro Monat Zeitperiode /16

12 Registrierte by scip AG Verlauf der Anzahl pro Quartal seit / Q4 Q4 Q4 Q4 Q4 Q4 Q4 Q4 sehr kritisch kritisch problematisch Verlauf der Anzahl /Schweregrad pro Quartal seit /3 12/16

13 Q Q Q Cross Site Scripting (XSS) Denial of Service (DoS) Designfehler Directory Traversal Eingabeungültigkeit Fehlende Authentifizierung Fehlende Verschlüsselung Fehlerhafte Leserechte Fehlerhafte Schreibrechte Format String Konfigurationsfehler Pufferüberlauf RaceCondition Schwache Authentifizierung Schwache Verschlüsselung SQLInjection SymlinkSchwachstelle UmgehungsAngriff Unbekannt Q Q Q4 9 Verlauf der Anzahl /Kategorie pro Quartal seit / Q Q /16

14 5. Labs In unseren scip Labs werden unter regelmässig Neuigkeiten und Forschungsberichte veröffentlicht. 5.1 Modell zur Umsetzung von Config Reviews Marc Ruef, maruatscip.ch Im Rahmen verschiedener Sicherheitsüberprüfungen führen wir ebenfalls sogenannte Configuration Reviews durch. Bei diesen wird die Konfiguration einer Komponente auf ihre Sicherheit hin untersucht. Das Prinzip einer solchen Analyse sowie die einhergehenden Schwierigkeiten sollen in diesem Beitrag illustriert werden. Gehen wir davon aus, dass ein nicht näher bestimmtes RouterProdukt untersucht werden soll. Dieses pflegt Konfigurationseinstellungen auf der Kommandozeile entgegenzunehmen. Beispielsweise wird folgendes Kommando verwendet, um eine Netzwerkschnittstelle zu konfigurieren: Router> add interface name=eth state=enabled icmp=enabled mgmtaccess=disabled In gleicher Weise wird die persistente Konfiguration einer Konfigurationsdatei abgelegt, die auf die gleiche sequentielle Eingabe der unterschiedlichen Einstellungen zurückgreift. Dabei entspricht jede Zeile in der Konfiguration einer einzelnen Eingabe. Eine einzelne Eingabe weist dabei beispielsweise die folgende Struktur auf (die einzelnen Objekte werden zur Vereinfachung der Illustration voneinander getrennt dargestellt): add interface name=eth state=ena BLED icmp =ENA BLED mgmtaccess=disa BLED Solche Konfigurationseinstellungen sind bei verschiedenen Netzwerkprodukten im professionellen Sektor zu sehen. Bei add handelt es sich um ein Kommando, das verschiedene Argumente erwartet. Durch interface wird die neue Netzwerkschnittstelle hinzugefügt. Dabei kommen nun verschiedene Parameter zum Tragen, welche eine Attributisierung des neu hinzuzufügenden Objekts zulassen. So wird mit dem Attributname der Name und mit state=[enabled DISABLED] der Status definiert. Zusätzlich wird mit icmp=[enabled DISABLED] die Unterstützung von ICMPKommunikationen und mit mgmtaccess=[enabled DISABLED] die Aktivierung des Zugriffs auf die Management Schnittstelle spezifiziert. add interface name=<name> state=[enabled DISABLED] icmp=[enabled DISABLED] mgmtaccess=[enabled DISABLED] Sicherheitstechnisch gesehen ist hierbei die Definition von icmp bedenklich. Denn durch das Aktivieren dessen Unterstützung mit dem Wert ENABLED werden entsprechende protokollabhängige Angriffe möglich. Im Rahmen einer Config Review würde hier also besagte Einstellung beanstandet werden add interface name=eth state=ena BLED icmp=en ABLED mgmtac cess=d ISABLE D Um dieser Schwachstelle zu entgegnen, sollte ICMP deaktiviert werden, indem die Direktive icmp=disabled zum Tragen kommt. Viele Administratoren haben die Angewohnheit, in der Konfiguration nur jene Einstellung vorzunehmen, die sie explizit definieren wollen. Alle Einstellungen, die nicht zwingend beeinflusst werden sollen, werden ignoriert. Viele Produkte erfordern aber eine explizite Definition einer Einstellung und verwenden beim Ausbleiben einer solchen die durch den Hersteller vordefinierte Standardeinstellung. Diese sähe in diesem Fall wie folgt aus (der Standard ist durch geschweifte Klammern dargestellt): add interface name=eth state={en ABLED} icmp={e NABLED} mgmtac cess={ DISABL ED} Dies bedeutet, dass wenn also eine der Parameter state, icmp oder mgmtaccess nicht definiert ist, die Vorauswahl genutzt wird. In diesem Fall werden damit aber entsprechende Sicherheitsrisiken aufgetan, wenn auf die explizite Deaktivierung von ICMP verzichtet wird. Denn ohne eine Definition wird das Protokoll standardmässig unterstützt. (In diesem Beispiel weist name keine Standardeinstellung auf. Die Angabe ist entsprechend nicht optional. Sie hat jedoch keinen Einfluss auf die sicherheitsbezogene Analyse. Wir würden ein Ausbleiben jedoch aus betrieblichen Gründen dokumentieren.) 14/16

15 Standardeinstellungen erschweren Config Reviews entsprechend ungemein. Denn man muss nicht nur um alle möglichen Einstellungen und die definierten Einstellungen wissen, sondern es müssen ebenfalls die abwesenden Einstellungen und ihre Standardwerte bekannt sein. Jenachdem ist es jedoch besonders aufwendig, diese Standardwerte ausfindig zu machen. Sollte der Hersteller keine Dokumentation diesbezüglich vorweisen können, muss durch eine praktische Analyse des Produkts der aktuelle Stand determiniert werden. Der generische Ablauf einer umfassenden Config Review gestaltet sich entsprechend wie folgt (unabhängig von Produkt und Format der Konfigurationsdateien): 1. Vorbereitungen 1. Dokumentation aller Einstellungsmöglichkeiten 2. Vermerk aller sicherheitsrelevanten Sicherheitseinstellungen 3. Identifikation aller Standardeinstellungen bei optionalen/abwesenden Einstellungen 2. Analyse 1. Identifikation aller expliziten Einstellungen 2. Identifikation aller abwesenden Einstellungen 3. Ableitung der abwesenden Einstellungen zu ihren Standardeinstellungen Interface State ICMP mgmtaccess eth ENABLED DISABLED DISABLED eth1 ENABLED ENABLED ENABLED eth2 DISABLED eth3 DISABLED Oftmals umfassen die zu untersuchenden Konfigurationsdateien mehrere hundert Zeilen mit einer Vielzahl an Anweisungen und expliziten bzw. impliziten Argumenten. Diese zu analysieren ist sodann mit einem sehr hohen Aufwand verbunden. Um die Effizienz sowie die Genauigkeit der Untersuchung zu verbessern, verwenden wir je nach Möglichkeit auf die zu untersuchenden Produkte zugeschnittene Parser (z.b. Cisco IOS/PIX/ASA, Nortel Alteon OS, Citrix Netscaler, etc.). Diese analysieren die Anweisungen und helfen entsprechend bei der Umsetzung der Schritte 2.1 bis 2.3. Sicherheitsrelevante bzw. sicherheitskritische Objekte werden sodann gemeldet und einer manuellen Untersuchung durch den Fachspezialisten unterzogen. Dadurch kann einerseits eine hohe Verarbeitungsgeschwindigkeit (durch Automatisierung) aber auch eine umfassende Genauigkeit (durch manuelle Nachprüfung) gewährleistet werden. 3. Dokumentation 1. Beschreibung aller gegebenen Fehleinstellungen (explizit definiert) 2. Beschreibung aller fehlenden Fehleinstellungen (implizit abgeleitet) Das Resultat einer Configuration Review eines RoutingProdukts könnte also folgendes Resultat zur Folge haben (Wir versuchen nach Möglichkeiten eine optische Darstellung von Fehleinstellungen bereitzustellen): 15/16

16 6. Impressum Herausgeber: scip AG Badenerstrasse 551 CH848 Zürich T infoatscip.ch Zuständige Person: Marc Ruef Security Consultant T maruatscip.ch scip AG ist eine unabhängige Aktiengesellschaft mit Sitz in Zürich. Seit der Gründung im September 2 fokussiert sich die scip AG auf Dienstleistungen im Bereich Information Security. Unsere Kernkompetenz liegt dabei in der Überprüfung der implementierten Sicherheitsmassnahmen mittels Penetration Tests und Security Audits und der Sicherstellung zur Nachvollziehbarkeit möglicher Eingriffsversuche und Attacken (Log Management und Forensische Analysen). Vor dem Zusammenschluss unseres spezialisierten Teams waren die meisten Mitarbeiter mit der Implementierung von Sicherheitsinfrastrukturen beschäftigen. So verfügen wir über eine Reihe von Zertifizierungen (Solaris, Linux, Checkpoint, ISS, Cisco, Okena, Finjan, TrendMicro, Symantec etc.), welche den Grundstein für unsere Projekte bilden. Das Grundwissen vervollständigen unsere Mitarbeiter durch ihre ausgeprägten Programmierkenntnisse. Dieses Wissen äussert sich in selbst geschriebenen Routinen zur Ausnutzung gefundener, dem Coding einer offenen Exploiting und Scanning Software als auch der Programmierung eines eigenen Log Management Frameworks. Den kleinsten Teil des Wissens über Penetration Test und Log Management lernt man jedoch an Schulen nur jahrelange Erfahrung kann ein lückenloses Aufdecken von und die Nachvollziehbarkeit von Angriffsversuchen garantieren. Einem konstruktivkritischen Feedback gegenüber sind wir nicht abgeneigt. Denn nur durch angeregten Ideenaustausch sind Verbesserungen möglich. Senden Sie Ihr Schreiben an Das Errata (Verbesserungen, Berichtigungen, Änderungen) der scip monthly Security Summarys finden Sie online. Der Bezug des scip monthly Security Summary ist kostenlos. Anmelden! Abmelden! 16/16

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.04.2011

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.04.2011 scip monthly Security Summary 19.4.11 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Das Gesetz

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.09.2009

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.09.2009 scip monthly Security Summary 19.9.9 Contents 1. Editorial. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Nichtexistenz

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.08.2010

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.08.2010 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Das Pentesting Experten System Seit meinem Eintritt

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.04.2007

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.04.2007 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Literaturverzeichnis 7. Impressum 1. Editorial Software Analyse Das Untersuchen

Mehr

Smartphone - Betriebssysteme. Smartphone - Betriebssysteme

Smartphone - Betriebssysteme. Smartphone - Betriebssysteme Smartphone - Betriebssysteme Peter Rami - Graz, 28.04.2009 Inhalt Smartphone Symbian OS Windows Mobile BlackBerry OS iphone OS Android Marktanteile & Ausblick Smartphone - Betriebssysteme Peter Rami -

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.12.2006

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.12.2006 scip monthly Security Summary 19.12.6 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Literaturverzeichnis 7. Impressum 1. Editorial

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.03.2007

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.03.2007 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Literaturverzeichnis 7. Impressum 1. Editorial Eingabeüberpüfung? Wozu?! Ich

Mehr

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen.

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen. Philosophie & Tätigkeiten Wir sind ein Unternehmen, welches sich mit der Umsetzung kundenspezifischer Softwareprodukte und IT-Lösungen beschäftigt. Wir unterstützen unsere Kunde während des gesamten Projektprozesses,

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.11.2006

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.11.2006 scip monthly Security Summary 19.11.6 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Literaturverzeichnis 7. Impressum 1. Editorial

Mehr

Wie steht es um die Sicherheit in Software?

Wie steht es um die Sicherheit in Software? Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die

Mehr

VMware Workspace Portal- Benutzerhandbuch

VMware Workspace Portal- Benutzerhandbuch VMware Workspace Portal- Benutzerhandbuch Workspace Portal 2.1 Dieses Dokument unterstützt die aufgeführten Produktversionen sowie alle folgenden Versionen, bis das Dokument durch eine neue Auflage ersetzt

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Cnlab / CSI 2011. Demo Smart-Phone: Ein tragbares Risiko?

Cnlab / CSI 2011. Demo Smart-Phone: Ein tragbares Risiko? Cnlab / CSI 2011 Demo Smart-Phone: Ein tragbares Risiko? Agenda Demo 45 Schutz der Smart-Phones: - Angriffsszenarien - «Jailbreak» - Was nützt die PIN? - Demo: Zugriff auf Passwörter iphone Bekannte Schwachstellen

Mehr

Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30

Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30 Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30 Copyright Brainloop AG, 2004-2014. Alle Rechte vorbehalten. Dokumentenversion 2.0 Sämtliche verwendeten Markennamen und Markenzeichen

Mehr

Rolle des Penetration Testing

Rolle des Penetration Testing Rolle des Penetration Testing Marc Ruef www.scip.ch SGRP Frühlingsveranstaltung 07.05.2013 Credit Suisse Tower, Zürich-Oerlikon Agenda Rolle des Penetration Testing Fragen SGRP Frühlingsveranstaltung 2013

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

Plattformen mobiler Endgeräte Windows Phone, ios, Android

Plattformen mobiler Endgeräte Windows Phone, ios, Android Plattformen mobiler Endgeräte Windows Phone, ios, Android 13.12.2012 Inhaltsverzeichnis 1. Einführung 2. Ecosystem Smartphone OS 3. Mobile Software Platform 4. Android App Entwicklung 5. Zusammenfassung

Mehr

Virtual Forge CodeProfiler for HANA

Virtual Forge CodeProfiler for HANA W H I T E P A P E R Virtual Forge CodeProfiler for HANA Version 1.0 - Gültig ab 30.07.2015 Dokument 2015, Virtual Forge GmbH Inhaltsangabe Inhaltsangabe... 2 Management Summary... 3 Herausforderungen...

Mehr

Mobile Datensicherheit Überblick ios und Android

Mobile Datensicherheit Überblick ios und Android Mobile Datensicherheit Überblick ios und Android Aldo Rodenhäuser Tom Sprenger Senior IT Consultant CTO 5. November 2013 Agenda Präsentation AdNovum Smartphone Daten Kommunikationskanäle Risikolandschaft

Mehr

TM1 mobile intelligence

TM1 mobile intelligence TM1 mobile intelligence TM1mobile ist eine hochportable, mobile Plattform State of the Art, realisiert als Mobile BI-Plug-In für IBM Cognos TM1 und konzipiert als Framework für die Realisierung anspruchsvoller

Mehr

Glossar. Launching auf.

Glossar. Launching auf. 243 Ad Hoc Distribution Die Ad Hoc Distribution ist eine Möglichkeit, um Ihre entwickelte Anwendung auf anderen Endgeräten zu verteilen. Diese Art der Verteilung erfolgt ohne den App Store. Die Anzahl

Mehr

Benutzerleitfaden MobDat-CSG (Nutzung des Heimrechners für dienstliche Zwecke)

Benutzerleitfaden MobDat-CSG (Nutzung des Heimrechners für dienstliche Zwecke) Benutzerleitfaden MobDat-CSG (Nutzung des Heimrechners für dienstliche Zwecke) Verfasser/Referent: IT-Serviceline Hardware und Infrastruktur, DW 66890 Inhaltsverzeichnis 1 Allgemeines... 3 2 Windows XP

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.01.2007

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.01.2007 scip monthly Security Summary 19.1.7 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Literaturverzeichnis 7. Impressum 1. Editorial

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.05.2006

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.05.2006 scip monthly Security Summary 19.5.6 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Interview 6. Kreuzworträtsel 7. Literaturverzeichnis 8.

Mehr

AIRWATCH. Mobile Device MGMT

AIRWATCH. Mobile Device MGMT AIRWATCH Mobile Device MGMT AIRWATCH Was ist Mobile Device Mgmt. Welche Methoden von Device Mgmt sind möglich Airwatch SAAS / on Premise Airwatch Konfiguration von Usern und Sites Airwatch Konfiguration

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick:

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick: Beweisen Sie Ihre Sicherheit! Unser Security Scan ist eine Sicherheitsmaßnahme, die sich auszahlt. Systeme ändern sich ständig. Selbst Spezialisten kennen nicht alle Schwachstellen im Detail. Der PCI Scan

Mehr

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7 BSI-Veröffentlichungen zur Cyber-Sicherheit ANALYSEN Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen Auswirkungen der Konfiguration auf den Schutz gegen aktuelle Drive-by-Angriffe Zusammenfassung

Mehr

SMARTPHONES. Möglichkeiten, Gefahren, Sicherheit Best Practice Peter Teufl

SMARTPHONES. Möglichkeiten, Gefahren, Sicherheit Best Practice Peter Teufl SMARTPHONES Möglichkeiten, Gefahren, Sicherheit Best Practice Peter Teufl A-SIT/Smartphones iphone security analysis (Q1 2010) Blackberry security analysis (Q1 2010) Qualifizierte Signaturen und Smartphones

Mehr

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript

Mehr

Anlage 3 Verfahrensbeschreibung

Anlage 3 Verfahrensbeschreibung Anlage 3 Verfahrensbeschreibung Stand September 2015 1 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 SYSTEMVORAUSSETZUNGEN... 3 2.1 Technische Voraussetzung beim Kunden... 3 2.2 Ausstattung des Clients... 3 3

Mehr

Oracle Datenbank Security Lösungen

Oracle Datenbank Security Lösungen Und was kommt nach Heartbleed und ShellShock? Ein kritischer Überblick über die Security Produkte rund um die Oracle Datenbank Themenübersicht Herausforderungen im Security Bereich im letzten Jahr Security

Mehr

Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30

Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30 Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30 Copyright Brainloop AG, 2004-2015. Alle Rechte vorbehalten. Dokumentenversion: 1.1 Sämtliche verwendeten Markennamen und Markenzeichen

Mehr

Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails?

Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails? Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails? Advisor for your information security. Essen, 10.-13. Oktober 2006 Version 1.0 SEC Consult Advisor for your information security Information

Mehr

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5. Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich

Mehr

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2

Mehr

White Paper. Embedded Treiberframework. Einführung

White Paper. Embedded Treiberframework. Einführung Embedded Treiberframework Einführung White Paper Dieses White Paper beschreibt die Architektur einer Laufzeitumgebung für Gerätetreiber im embedded Umfeld. Dieses Treiberframework ist dabei auf jede embedded

Mehr

Mobile Business. Mag. Alfred Luger, MA Co-Founder/COO runtastic GmbH Co-Founder AllaboutApps GmbH

Mobile Business. Mag. Alfred Luger, MA Co-Founder/COO runtastic GmbH Co-Founder AllaboutApps GmbH Mobile Business Mag. Alfred Luger, MA Co-Founder/COO runtastic GmbH Co-Founder AllaboutApps GmbH Intro Markt & AppStores Warum eine mobile App? App Marketing Fazit Q & A Background INTRO Mobile Business

Mehr

admeritia: UPnP bietet Angreifern eine Vielzahl an

admeritia: UPnP bietet Angreifern eine Vielzahl an 1 von 5 20.10.2008 16:31 19.06.08 Von: Thomas Gronenwald admeritia: UPnP bietet Angreifern eine Vielzahl an Möglichkeiten ein System zu manipulieren Wofür steht UPnP? UPnP steht im generellen für Universal

Mehr

VPN: Nochmal ein Kilo bitte?

VPN: Nochmal ein Kilo bitte? VPN Reloaded: Mac OS X 10.6 Server Snow Leopard VPN: Nochmal ein Kilo bitte? Autor: Dirk Küpper www.dirkkuepper.de Wie war das noch gleich: 1 Kilo VPN bitte? An der Theke bekomme ich sicherlich 100 Gramm

Mehr

Win7Deploy Seite 2 von 17. Was ist Win7Deploy?

Win7Deploy Seite 2 von 17. Was ist Win7Deploy? Win7Deploy Seite 1 von 17 Win7Deploy Eine einfache, passgenaue und kostengünstige Lösung um Windows 7 in Ihrem Unternehmen einzuführen [ www.win7deploy.de ] Ablauf einer Win7Deploy Installation am Beispiel

Mehr

Bin ich fit für myconvento?

Bin ich fit für myconvento? Bin ich fit für myconvento? Sie planen den Einsatz unserer innovativen Kommunikationslösung myconvento und fragen sich gerade, ob Ihr Rechner die Anforderungen erfüllt? Hier erfahren Sie mehr. Inhalt Was

Mehr

DOK. ART GD1. Citrix Portal

DOK. ART GD1. Citrix Portal Status Vorname Name Funktion Erstellt: Datum DD-MMM-YYYY Unterschrift Handwritten signature or electronic signature (time (CET) and name) 1 Zweck Dieses Dokument beschreibt wie das auf einem beliebigem

Mehr

ARTS Server 3.5. Produktbeschreibung. Uptime Services AG

ARTS Server 3.5. Produktbeschreibung. Uptime Services AG Uptime Services AG Brauerstrasse 4 CH-8004 Zürich Tel. +41 44 560 76 00 Fax +41 44 560 76 01 www.uptime.ch ARTS Server 3.5 Produktbeschreibung Uptime Services AG Inhaltsverzeichnis 1 Einleitung... 2 2

Mehr

WINDOWS APPLIKATIONEN UNTER LINUX/UNIX SECURE REMOTE ACCESS

WINDOWS APPLIKATIONEN UNTER LINUX/UNIX SECURE REMOTE ACCESS WINDOWS APPLIKATIONEN UNTER LINUX/UNIX SECURE REMOTE ACCESS Dipl.-Ing. Swen Baumann Produktmanager, HOB GmbH & Co. KG April 2005 Historie 2004 40 Jahre HOB Es begann mit Mainframes dann kamen die PCs das

Mehr

KABEG Portal. Anleitung für die Installation auf privaten Endgeräten. Hauptabteilung Technik und Bau

KABEG Portal. Anleitung für die Installation auf privaten Endgeräten. Hauptabteilung Technik und Bau Hauptabteilung Technik und Bau 9020 Klagenfurt am Wörthersee Kraßniggstraße 15 T +43 463 55212-0 F +43 463 55212-50009 www.kabeg.at KABEG Portal Anleitung für die Installation auf privaten Endgeräten Seite

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

Apparo Fast Edit Datenmanagement mit der Standalone Version Technische Übersicht

Apparo Fast Edit Datenmanagement mit der Standalone Version Technische Übersicht Apparo Fast Edit Datenmanagement mit der Standalone Version Technische Übersicht 2 Apparo Fast Edit ist die das Standardprogramm für unternehmensweite Dateneingabe, mit der Sie Daten ändern, importieren

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.05.2007

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.05.2007 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Literaturverzeichnis 7. Impressum 1. Editorial Real World Testing vs. Formale

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

Produktbeschreibung Penetrationstest

Produktbeschreibung Penetrationstest Produktbeschreibung Penetrationstest 1. Gestaltungsmöglichkeiten Ein Penetrationstest stellt eine Möglichkeit zum Test der IT-Sicherheit dar. Um die vielfältigen Möglichkeiten eines Penetrationstests zu

Mehr

Allgemeine Informationen Slides2Go Stand April 2015

Allgemeine Informationen Slides2Go Stand April 2015 Allgemeine Informationen Slides2Go Stand April 2015 1. ALLGEMEINE INFORMATIONEN... 3 1.1 SYSTEMANFORDERUNGEN WEB-BACKEND... 3 1.2 SYSTEMANFORDERUNGEN FRONTEND / APP... 3 1.3 UNTERSTÜTZTE DATEIFORMATE...

Mehr

Externer Meilenstein. Manueller Sammelrollup Unterbrechung. Inaktiver Vorgang. Inaktiver Meilenstein Inaktiver Sammelvorgang

Externer Meilenstein. Manueller Sammelrollup Unterbrechung. Inaktiver Vorgang. Inaktiver Meilenstein Inaktiver Sammelvorgang Nr. Vorgasname Dauer Anfang Fertig stellen VorgWer 1 Kick Off 0 Tage Di 05.02.13 Di 05.02.13 Alle 2 Grobkonzept erstellen 20 Tage Di 05.02.13 Mo 04.03.131 CN 3 Vorauswahl Shopsysteme 21 Tage Di 05.02.13

Mehr

A9: Mobile Security - So werden Sie angegriffen! Renato Ettisberger renato.ettisberger@switch.ch

A9: Mobile Security - So werden Sie angegriffen! Renato Ettisberger renato.ettisberger@switch.ch A9: Mobile Security - So werden Sie angegriffen! Renato Ettisberger renato.ettisberger@switch.ch Zürich, 11. Oktober 2011 Security (SWITCH-CERT) Derzeit 7 Mitarbeiter, bald 10 Unser Team erbringt Security-Dienstleistungen

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

Internet-basierendes Autorensystem zur Erschließung historischen Kulturguts. Thorsten Ludewig. Juni 2004

Internet-basierendes Autorensystem zur Erschließung historischen Kulturguts. Thorsten Ludewig. Juni 2004 METEOR Internet-basierendes Autorensystem zur Erschließung historischen Kulturguts Thorsten Ludewig Juni 2004 1 Übersicht Was ist METEOR Architektur Technische Realisierung Zusammenfassung Zukünftige Entwicklungen

Mehr

Konfigurationsanleitung Hosted Exchange 2003 mit Outlook 2010 & iphone

Konfigurationsanleitung Hosted Exchange 2003 mit Outlook 2010 & iphone Konfigurationsanleitung Hosted Exchange 2003 mit Outlook 2010 & iphone Vertraulichkeitsklausel Das vorliegende Dokument beinhaltet vertrauliche Informationen und darf nicht an Dritte weitergereicht werden.

Mehr

Check Point IPS. Agenda. Check Point & AlgoSec Security-Update 24./25. September 2014. «Eine Firewall ohne IPS ist keine Firewall»

Check Point IPS. Agenda. Check Point & AlgoSec Security-Update 24./25. September 2014. «Eine Firewall ohne IPS ist keine Firewall» Check Point IPS «Eine Firewall ohne IPS ist keine Firewall» Andreas Leuthold, Security Engineer leuthold@avantec.ch Agenda Warum IPS? Wie funktioniert IPS? Ablauf eines IPS Projekts IPS Warum IPS? Source

Mehr

Installationsanleitung MS SQL Server 2005. für Sage 50 Ablage & Auftragsbearbeitung. Sage Schweiz AG D4 Platz 10 CH-6039 Root Längenbold

Installationsanleitung MS SQL Server 2005. für Sage 50 Ablage & Auftragsbearbeitung. Sage Schweiz AG D4 Platz 10 CH-6039 Root Längenbold Installationsanleitung MS SQL Server 2005 für Sage 50 Ablage & Auftragsbearbeitung Sage Schweiz AG D4 Platz 10 CH-6039 Root Längenbold Inhaltsverzeichnis 1. GRUNDSÄTZLICHES... 3 2. SQLExpress Installationsanleitung

Mehr

Hacking-Lab Online Hack&Learn 9. December 2008

Hacking-Lab Online Hack&Learn 9. December 2008 Hacking-Lab Glärnischstrasse 7 Postfach 1671 CH-8640 Rapperswil T +41 55 214 41 60 F +41 55 214 41 61 root@hacking-lab.com Hacking-Lab Online Hack&Learn 9. December 2008 Name des Dokumentes: DE_Hacking_Lab_V3.3_OpenVPN.doc

Mehr

Streaming Media - MPEG-4 mit Linux

Streaming Media - MPEG-4 mit Linux Streaming Media - MPEG-4 mit Linux Überblick Streaming Media Streaming Anbieter Benötigte Software Vorführung Videostreaming Streaming Was ist Streaming? Sender Daten Empfänger Kontinuierlicher Datenstrom

Mehr

Handbuch für ios 1.4 1

Handbuch für ios 1.4 1 Handbuch für ios 1.4 1 Inhaltsverzeichnis 1. Leistungsumfang... 3 1.1 Über Boxcryptor Classic... 3 1.2 Über dieses Handbuch... 4 2. Installation... 5 3. Grundfunktionen... 6 3.1. Einrichtung von Boxcryptor

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

Wir befinden uns inmitten einer Zeit des Wandels.

Wir befinden uns inmitten einer Zeit des Wandels. Wir befinden uns inmitten einer Zeit des Wandels. Geräte Apps Ein Wandel, der von mehreren Trends getrieben wird Big Data Cloud Geräte Mitarbeiter in die Lage versetzen, von überall zu arbeiten Apps Modernisieren

Mehr

Übersicht. NOXnet Serial Device Server NPort 5110 oder NPort 5110A 1/13

Übersicht. NOXnet Serial Device Server NPort 5110 oder NPort 5110A 1/13 Serial Device Server NPort 5110 oder NPort 5110A 1/13 Übersicht Mit dem Serial Device Server MOXA NPort 5110 oder MOXA NPort 5110A können Sie das Gebäudeautomationssystem NOXnet mit Ihrem Heimnetzwerk

Mehr

NOCTUA by init.at DAS FLEXIBLE MONITORING WEBFRONTEND

NOCTUA by init.at DAS FLEXIBLE MONITORING WEBFRONTEND NOCTUA by init.at DAS FLEXIBLE MONITORING WEBFRONTEND init.at informationstechnologie GmbH - Tannhäuserplatz 2 - A-1150 Wien - www.init.at Dieses Dokument und alle Teile von ihm bilden ein geistiges Eigentum

Mehr

Mobile Device Management

Mobile Device Management 1 Mobility meets IT Service Management 26. April 2012 in Frankfurt Mobile Device Management So finden Sie Ihren Weg durch den Endgeräte- Dschungel Bild Heiko Friedrich, SCHIFFL + Partner GmbH & Co.KG http://www.schiffl.de

Mehr

Lebenszyklus einer Schwachstelle

Lebenszyklus einer Schwachstelle GRUNDLAGEN STATISTIKEN BERICHTE Lebenszyklus einer Schwachstelle Nach Bekanntwerden einer neuen Zero-Day-Schwachstelle hat der Hersteller ein Advisory veröffentlicht, in dem bis zur Fertigstellung eines

Mehr

1. Software-Plattform Android Android. Was ist Android? Bibliotheken, Laufzeitumgebung, Application Framework

1. Software-Plattform Android Android. Was ist Android? Bibliotheken, Laufzeitumgebung, Application Framework 1. Software-Plattform Android Android Was ist Android? Plattform und Betriebssystem für mobile Geräte (Smartphones, Mobiltelefone, Netbooks), Open-Source Linux-Kernel 2.6 Managed Code, Angepasste Java

Mehr

Konfigurieren eines Webservers

Konfigurieren eines Webservers Unterrichtseinheit 12: Konfigurieren eines Webservers Erleichterung der Organisation und des Verwaltens von Webinhalten im Intranet und Internet. Übersicht über IIS: Der IIS-Dienst arbeitet mit folgenden

Mehr

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors Installation und Konfiguration des Outlook Connectors Vertraulichkeit Die vorliegende Dokumentation beinhaltet vertrauliche Informationen und darf nicht an etwelche Konkurrenten der EveryWare AG weitergereicht

Mehr

Systemvoraussetzungen

Systemvoraussetzungen [Stand: 06.08.2014 Version: 44] Hier erhalten Sie eine Übersicht zu den für alle Software-Produkte von ELO Digital Office GmbH. Inhalt 1 ELOprofessional Server 9... 4 1.1 Windows... 4 1.1.1 Betriebssystem...

Mehr

Marketing Update. Enabler / ENABLER aqua / Maestro II

Marketing Update. Enabler / ENABLER aqua / Maestro II Marketing Update Enabler / ENABLER aqua / Maestro II Quartal 01/2013 1 Kommentar des Herausgebers Liebe Kunden und Partner, dieser Marketing Update gibt Ihnen einen kurzen Überblick über die aktuell verfügbaren

Mehr

Anwendung Rechnernetze. 7.Semester INF - WS 2005/2006 Vorstellung der Projekte (Prof. Dr. Uwe Heuert)

Anwendung Rechnernetze. 7.Semester INF - WS 2005/2006 Vorstellung der Projekte (Prof. Dr. Uwe Heuert) Anwendung Rechnernetze 7.Semester INF - WS 2005/2006 Vorstellung der Projekte (Prof. Dr. Uwe Heuert) Übersicht Schwerpunkte Netzwerk Microsoft.NET Dienste und Enterprise Computing Sicherheit Praktikum

Mehr

Praktikum Einführung

Praktikum Einführung Praktikum Einführung Praktikum im Rahmen der Veranstaltung Sicherheit in Netzen im WS 08/09 Praktikumsleiter: Holger Plett Agenda Motivation AVISPA Einleitung Aufbau des Frameworks Elemente des Frameworks

Mehr

Web Protection in Endpoint v10

Web Protection in Endpoint v10 Complete Security Endpoint Web Protection in Endpoint v10 Full Web Protection in Endpoint 10 Sophos Endpoint Protection Integrated FullDisk Encryption: Password-Recovery over Local Self Help or IT-Helpdesk

Mehr

ALM mit Visual Studio Online. Philip Gossweiler Noser Engineering AG

ALM mit Visual Studio Online. Philip Gossweiler Noser Engineering AG ALM mit Visual Studio Online Philip Gossweiler Noser Engineering AG Was ist Visual Studio Online? Visual Studio Online hiess bis November 2013 Team Foundation Service Kernstück von Visual Studio Online

Mehr

VIVIT TQA Treffen in Köln am 18. 04. 2013. API- Programmierung und Nutzung bei HP Quality Center / ALM. Michael Oestereich IT Consultant QA

VIVIT TQA Treffen in Köln am 18. 04. 2013. API- Programmierung und Nutzung bei HP Quality Center / ALM. Michael Oestereich IT Consultant QA VIVIT TQA Treffen in Köln am 18. 04. 2013 API- Programmierung und Nutzung bei HP Quality Center / ALM Michael Oestereich IT Consultant QA Agenda Vorstellung der API- Versionen OTA- API SA- API REST- API

Mehr

Handbuch für Android 1.5

Handbuch für Android 1.5 Handbuch für Android 1.5 1 Inhaltsverzeichnis 1 Leistungsumfang... 3 1.1 Über Boxcryptor Classic... 3 1.2 Über dieses Handbuch... 3 2. Installation... 5 3. Grundfunktionen... 5 3.1 Einrichtung von Boxcryptor

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.10.2007

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.10.2007 scip monthly Security Summary 19.1.7 Contents 1. Editorial. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Fachartikel 6. Bilderrätsel 7. Impressum 1. Editorial It's

Mehr

Systemanforderungen Verlage & Akzidenzdruck

Systemanforderungen Verlage & Akzidenzdruck OneVision Software AG Inhalt Asura 10.2, Asura Pro 10.2,Garda 10.2...2 PlugBALANCEin 10.2, PlugCROPin 10.2, PlugFITin 10.2, PlugRECOMPOSEin 10.2, PlugSPOTin 10.2,...2 PlugTEXTin 10.2, PlugINKSAVEin 10.2,

Mehr

UI-Testing mit Microsoft Test Manager (MTM) Philip Gossweiler / 2013-04-18

UI-Testing mit Microsoft Test Manager (MTM) Philip Gossweiler / 2013-04-18 UI-Testing mit Microsoft Test Manager (MTM) Philip Gossweiler / 2013-04-18 Software Testing Automatisiert Manuell 100% 70% 1 Überwiegender Teil der Testing Tools fokusiert auf automatisiertes Testen Microsoft

Mehr

Enterprise Mobility, Live! Pascal Kaufmann, Swisscom IT Services AG 12. Juni 2013

Enterprise Mobility, Live! Pascal Kaufmann, Swisscom IT Services AG 12. Juni 2013 Enterprise Mobility, Live! Pascal Kaufmann, Swisscom IT Services AG 12. Juni 2013 Agenda Mobile Apps aus Sicht der IT Grösste Herausforderungen mobiler Applikationen aus der Sicht der IT Best Practice

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Installationsanleitung Tivoli Storage Manager für Mac OS

Installationsanleitung Tivoli Storage Manager für Mac OS 11. März 2009, Version 1.0 Installationsanleitung für Mac OS X Verwaltungsdirektion Informatikdienste Installationsanleitung für Mac OS Inhaltsverzeichnis...1 Installation... 1 Voraussetzungen...1 Version

Mehr

Systemvoraussetzungen

Systemvoraussetzungen [Stand: 10.02.2014 Version: 37.0] Hier erhalten Sie eine Übersicht zu den für alle Software-Produkte von ELO Digital Office GmbH. Inhalt 1 ELOprofessional 2011... 5 1.1 Server 2011... 5 1.1.1 Windows...

Mehr

Inhaltsverzeichnis. 1. Remote Access mit SSL VPN 1 1 1 1 2-3 3 4 4 4 5 5 6

Inhaltsverzeichnis. 1. Remote Access mit SSL VPN 1 1 1 1 2-3 3 4 4 4 5 5 6 Inhaltsverzeichnis. Remote Access mit SSL VPN a. An wen richtet sich das Angebot b. Wie funktioniert es c. Unterstützte Plattform d. Wie kann man darauf zugreifen (Windows, Mac OS X, Linux) 2. Aktive WSAM

Mehr

Authentication Policy. Konfigurationsbeispiel ZyXEL ZyWALL USG-Serie. Juni 2010 / HAL

Authentication Policy. Konfigurationsbeispiel ZyXEL ZyWALL USG-Serie. Juni 2010 / HAL Authentication Policy Konfigurationsbeispiel ZyXEL ZyWALL USG-Serie Juni 2010 / HAL LOKALE USER DATENBANK Über Authentication Policy verknüpft man ZyWALL-Dienste und Benutzer so, dass die Nutzung der Dienste

Mehr

Zugriff auf die Installation mit dem digitalstrom- Konfigurator mit PC und Mac

Zugriff auf die Installation mit dem digitalstrom- Konfigurator mit PC und Mac Zugriff auf die Installation mit dem digitalstrom- Konfigurator mit PC und Mac Zusatz zum digitalstrom Handbuch VIJ, aizo ag, 15. Februar 2012 Version 2.0 Seite 1/10 Zugriff auf die Installation mit dem

Mehr

Handbuch VERBINDUNG ZUM TERMINAL SERVER

Handbuch VERBINDUNG ZUM TERMINAL SERVER Handbuch VERBINDUNG ZUM TERMINAL SERVER Einleitung Dieses Dokument beschreibt Ihnen, wie Sie sich auf einen Terminalserver (TS) mithilfe von einem Gerät, auf den die Betriebssysteme, Windows, Mac, IOS

Mehr

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12 Hochschule Niederrhein University of Applied Sciences Elektrotechnik und Informatik Faculty of Electrical Engineering and Computer Science web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Inhalt

Mehr

Nutzung der VDI Umgebung

Nutzung der VDI Umgebung Nutzung der VDI Umgebung Inhalt 1 Inhalt des Dokuments... 2 2 Verbinden mit der VDI Umgebung... 2 3 Windows 7... 2 3.1 Info für erfahrene Benutzer... 2 3.2 Erklärungen... 2 3.2.1 Browser... 2 3.2.2 Vertrauenswürdige

Mehr

VDLUFA-Schriftenreihe 1

VDLUFA-Schriftenreihe 1 VDLUFA-Schriftenreihe 1 Wie viele Apps sind ein LIMS? J. Flekna Pragmatis GmbH, Neufahrn 1. Einleitung Seitdem mobile Endgeräte massentauglich sind, ist die Bezeichnung App fester Bestandteil unseres zeitgeistigen

Mehr

Compliance mit dem IEM Endpoint Manager durchsetzen

Compliance mit dem IEM Endpoint Manager durchsetzen Compliance mit dem IEM Endpoint Manager durchsetzen PPPvorlage_sxUKMvo-05.00.potx santix AG Mies-van-der-Rohe-Straße 4 80807 München www.santix.de santix AG 2 Sicherheit in der IT Was bedeutet Sicherheit

Mehr

MobiDM-App - Handbuch für ios

MobiDM-App - Handbuch für ios MobiDM-App - Handbuch für ios Dieses Handbuch beschreibt die Installation und Nutzung der MobiDM-App für ios Version: x.x Seite 1 Inhalt 1. WILLKOMMEN BEI MOBIDM... 2 1.1. VOR DER INSTALLATION... 2 2.

Mehr