s c i p a g Contents 1. Editorial scip monthly Security Summary

Save this PDF as:
 WORD  PNG  TXT  JPG

Größe: px
Ab Seite anzeigen:

Download "s c i p a g Contents 1. Editorial scip monthly Security Summary 19.08.2009"

Transkript

1 scip monthly Security Summary Contents 1. Editorial. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Wer rechnen kann, ist klar im Vorteil Die meisten von uns können sich sicher noch an die Schulzeit erinnern, als man sich in mühseliger Weise mit traditionellen Fächern wie Deutsch, Mathematik oder Physik herumärgern musste. Viele Schüler, gerade jene mit den weniger guten Noten, machen lautstark ihrem Ärger Dampf, indem sie unablässig darauf hinweisen, dass sie das vermeintliche Wissen ja sowieso nie brauchen werden. Da wird dann gesagt, dass Gross- /Kleinschreibung nutzlos wäre, weil es ja nur darum geht, dass einem der andere versteht. Oder das Berechnen einer Kantenlänge eines Rechtecks wäre nur dann sinnvoll, wenn man irgendwann ein Haus bauen will (was man angeblich nie tun wird). Und über die Halbwertszeit von Strontium 9Sr will ich erst gar nicht debattieren (Es ist eines der energiereichsten, langlebigsten Isotope, die Betastrahlung aussenden - Cool!). Computern oder das Herumkommandieren von Soldaten einsetzen würden (in manchem Fällen ist dies gar nicht mal so unterschiedlich). Dennoch kann man irgendwodurch jedem Schulwissen irgendetwas nützliches abgewinnen. Gehen wir davon aus, dass wir bei einer Militärmacht eingespannt sind, die die Schweiz als potentiellen oder effektiven Gegner deklariert hat. Nicht dass ich hoffe oder annehme, dass das gegenwärtig so ist. Es könnte jedoch theoretisch sein. Als Mitglied des militärischen Nachrichtendiensts, man ist als "unscheinbarer" Analyst angestellt, hat man die Medien der feindlichen Staaten im Auge zu behalten: Informationen zu politischen Veränderungen oder militärischen Anschaffungen sind von höchstem Interesse. Gehen wir nun weiterhin davon aus, dass in den Tagesmedien der Schweiz darauf hingewiesen wird, dass die eingesetzten F/A-18 Hornet mit AIM-9X Sidewinder-Raketen (Bambini-Code Siwa) ausgestattet werden sollen. Dabei wird auf das Rüstungsprogramm 3 hingewiesen, welches für die Anschaffung durch die Armasuisse eine Budgetierung von 115 Millionen Franken zugelassen hat. Die Anzahl der eingekauften Raketen unterliegt jedoch der Geheimhaltung. Ich kriege nun von meinem Vorgesetzten die Aufgabe gestellt herauszufinden, wieviele Raketen wohl angeschafft wurden. Dies ist mit einem kleinen Dreisatz lösbar. Wir wissen, wieviel Geld total ausgegeben wurde (115'' CHF). Es gilt nun herauszufinden, wieviel ein AIM-9X Sidewinder-Rakete kostet. Eigentlich sind wir selber im Besitz solcher Raketen bzw. kennen wir den Verkaufskatalog der US-Navy. Sind wir nicht im Besitz solcher Verbindungen, konsultieren wir das Internet. Dort wird das besagte Objekt zur Zeit mit einem Stückpreis von etwa 3' US-Dollar (ca. 35'35 CHF) angeboten. Man dividiert nun den Gesamtpreis durch den Stückpreis und erhält eine etwaige Anzahl eingekaufter Raketen: Die Nutzlosigkeit einiger der transportierten Wissensbrocken sowie die Herangehensweise der Vermittlung in unserem Schulsystem will ich nicht bestreiten. Viele Lehrer täten besser daran, wenn sie sich für die Programmierung von 115'' / 35'35 = 38,7 Unser Vorgesetzter wird erstaunt ab unseren Fähigkeiten sein. Er wird diese Information voller Freude an die zuständigen Stellen weiterreichen 1/1

2 scip monthly Security Summary und uns für eine Beförderung vorschlagen. Und dies alles nur, weil wir in der Lage waren, eine grosse Zahl durch eine etwas kleinere Zahl zu dividieren. Auf der letzten Seite der jüngsten Gratiszeitschrift Blick am Abend nimmt Filmkritiker, Windsor- Kenner und Buchautor Helmut-Maria Glogger kein Blatt vor den Mund. Abend für Abend schreibt er in der Rubrik "Mail an..." offene s, kritisiert und lobt Leute des öffentlichen Interesses. Vor einiger Zeit schrieb er über die jüngst gefundene grösste Mersenne-Primzahl mit ihren 1'978'189 Stellen (Stand September 8). Mit Hohn durchsetzt fragte er rethorisch, ob wir nun stolz auf diese Leistung bzw. das Schulsystem sein können und ob es sich lohnt, dass er seinem Sohn im Schulalter darüber berichtet. "Verbessert es unser leben?", hat er spöttisch gefragt. Der Hohn war fehl am Platz. Das sollte dem guten Mann spätestens dann bewusst werden, wenn dank verbesserter Primfaktorzerlegung die verschlüsselten Verbindungen im Internet ohne weiteres mitgelesen und beim Online-Banking ohne grösseren Aufwand Geld abgezweigt werden kann. Schliesslich basieren moderne kryptografische Verfahren (z.b. RSA) auf grossen Primzahlen und der Schwierigkeit der Primfaktorzerlegung. Solange der epochale Quantensprung bezüglich der letzteren nicht eingesetzt hat, hat man gefälligst den Primzahlen Respekt entgegenzubringen - Und den Männern und Frauen, die sich mit den vermeintlich sinnlosen Zahlenspielen auseinandersetzen. Marc Ruef <maru-at-scip.ch> Security Consultant Zürich,. Juni 9. scip AG Informationen.1 Backdoor Test Das Ziel unserer Dienstleistung Backdoor Test ist die erfolgreiche Kompromittierung der Zielumgebung durch die Infektion eines eigens angefertigten Trojanischen Pferds (Backdoor) zur Bestimmung effektiv ausnutzbarer Schlupflöcher im bestehenden Sicherheitsdispositiv. Vorbereitung: Die Zielumgebung wird ausgewertet, um ein individuelles Angriffsszenario entwickelt. Entwicklung: Ein eigens angefertigtes Trojanisches Pferd wird für den Kunden programmiert. Infektion: Die Zielumgebung oder ein definiertes Zielsystem wird mit dem Trojanischen Pferd infiziert (z.b. Social Engineering, Drive- By Infection, Exploiting einer Dokumentenschwachstelle). Fernsteuerung: Nach erfolgreicher Infektion wird die Fernsteuerung durchgesetzt, um die Machbarkeit und Möglichkeiten zu demonstrieren. Solcherlei Backdoor Inside/Out Tests sind sehr individuell. Die Vorbereitungen (Entwicklung der Hintertür) sowie die Durchführung des Angriffs (Infektion und Fernsteuerung) werden detailliert dokumentiert. Die ausgenutzten Schwächen der Zielumgebung (z.b. Firewall-Tunneling, Antivirus Evasion, etc.) werden ausführlich besprochen. Durch den zielgerichteten Malware-Angriff wird es möglich, sämtliche Schichten der Layered Security zu prüfen. Das Trojanische Pferd muss schliesslich alle bestehenden Sicherheitsmassnahmen irgendwie umgehen, um erfolgreich zu sein. Dadurch wird es möglich, mit einem umfassenden Test die verbleibenden Schwächen der Umgebung aufzuzeigen. Strategische Entscheidungen bezüglich IT-Security werden so realitätsnah gestützt Dank unserer langjährigen Erfahrung und unserem ausgewiesenen Expertenwissen haben wir als scip AG bereits eine Vielzahl von Backdoor Test Projekte durchgeführt. Zählen auch Sie auf uns! Zögern Sie nicht und kontaktieren Sie unseren Herrn Chris Widmer unter der Telefonnummer oder senden Sie im eine Mail an /1

3 scip monthly Security Summary Neue Sicherheitslücken Die erweiterte Auflistung hier besprochener Schwachstellen sowie weitere Sicherheitslücken sind unentgeltlich in unserer Datenbank unter einsehbar. Die Dienstleistungspakete)scip( pallas liefern Ihnen jene Informationen, die genau für Ihre Systeme relevant sind Jul 9 Aug 9 sehr kritisch 5 kritisch 3 4 problematisch 3 6 Contents: 418 WordPress Privilege Escalation Schwachstellen 417 Apple Mac OS X kumulatives Security Update 416 Microsoft Remote Desktop Connection mehrere Schwachstellen 415 Apple iphone SMS Message Decoding Schwachstelle 414 Microsoft Windows Workstation Service Memory Corruption 41 Microsoft Windows AVI Media File Parsing Schwachstelle 49 Microsoft.NET Framework Denial of Service 44 Microsoft Internet Explorer Tabellenoperationen Pufferüberlauf 43 Microsoft Internet Explorer gelöschte Objekte Pufferüberlauf 3.1 WordPress Privilege Escalation Schwachstellen WordPress ist ein System zur Verwaltung der Inhalte einer Website (Texte und Bilder). Es bietet sich besonders zum Aufbau und Pflege eines Weblogs (Onlinetagebuch) an, da es erlaubt, jeden Beitrag einer oder mehreren frei erstellbaren Kategorien zuzuweisen, und automatisch die entsprechenden Navigationselemente erzeugt. Parallel gestattet es auch unkategorisierte Einzelseiten. Die Entwickler weisen mit einem Security Release auf diverse kleinere Schwachstellen hin, die von Angreifern zum Erlangen erweiterter Rechte genutzt werden konnten. Auch wenn leider nicht ganz klar wird, welche konkreten Schwachstellen mit dem neuen Release gefixt werden, so lehrt uns die Historie von Wordpress, zeitnah um das Einspielen des entsprechenden Versionsupdates bemüht zu sein. 3. Apple Mac OS X kumulatives Security Update Einstufung: problematisch Datum: scip DB: Einstufung: problematisch Datum: scip DB: Mac OS X ist ein kommerzielles Unix- Betriebssystem des Unternehmens Apple und setzt die Produktlinie Mac OS als Betriebssystem der hauseigenen Macintosh-Computer fort. In einem kumulativen Patchpaket schliess Apple insgesamt 17 Schwachstellen, deren Kritikalität teilweise als kritisch zu betrachten ist. Details zu den einzelnen Schwachstellen können im Advisory des Herstellers nachgelesen werden. 17 Schwachstellen sind zwar nicht die Welt, aber im Anbetracht der teilweise doch eher kritischen Sicherheitslücken nicht zu verachten. Benutzer wie Administratoren sollten zeitnah darum bemüht sein, hier einen aktuellen Patchlevel zu erreichen. 3.3 Microsoft Remote Desktop 3/1

4 scip monthly Security Summary Connection mehrere Schwachstellen Einstufung: kritisch Datum: scip DB: Microsoft Windows ist ein Markenname für Betriebssysteme des Unternehmens Microsoft. Ursprünglich war Microsoft Windows eine grafische Erweiterung des Betriebssystems MS- DOS (wie beispielsweise auch GEM oder PC/GEOS), inzwischen wurde dieser Entwicklungszweig zu Gunsten der Windows-NT- Produktlinie aufgegeben und Windows bezeichnet das Betriebssystem als Ganzes. Durch verschiedene Fehler in der Implementierung des Remote Desktop Clients in verschiedenen Windows Versionen, kann ein Angreifer beliebigen Code zur Ausführung bringen, wenn das Opfer eine beliebige Webseite besucht. Auch hier liegt erneut eine kritische Schwachstelle im Hinblick auf diverse ActiveX Objekte vor, die nicht sauber implementiert wurden. Dementsprechend sollte zeitnah dafür gesorgt werden, dass die bereitgestellten Updates eingespielt werden. 3.4 Apple iphone SMS Message Decoding Schwachstelle Einstufung: kritisch Datum: scip DB: Das iphone ist ein von Apple entwickeltes Smartphone, das über einen ipod-ähnlichen Medienspieler verfügt und weitgehend über den Bildschirm gesteuert wird. Dieser besitzt wie der ipod touch eine Multi-Touch-Funktionalität, ermöglicht also eine Bedienung mit mehreren Fingern gleichzeitig. Darüber hinaus wird das iphone nur noch mittels zweier Tasten, einer Wippe und eines Schiebeschalters bedient. Nach Angaben von Apple vereint das iphone die Funktionen eines Breitbild-Video-iPod- Medienspielers mit denen eines Mobiltelefons mit Digitalkamera und Internetzugang. Durch das fehlerhafte Decodieren von SMS Nachrichten durch das Gerät kann ein Angreifer mittels einer Vielzahl manipulierter SMS erreichen, dass beliebiger Code zur Ausführung gebracht wird. Die vorliegende Schwachstelle liess ein Raunen durch die iphone-community gehen, schliesslich ist eine Remote Code Execution via SMS nicht gerade alltäglich. Aufgrund der hohen Gefahr des Angriffs sollten Benutzers zeitnah mittels itunes auf eine aktualisierte Firmware Version (3..1) upgraden, um keine Gefahr zu laufen, Opfer einer Kompromittierung zu werden. 3.5 Microsoft Windows Workstation Service Memory Corruption Einstufung: problematisch Datum: scip DB: Microsoft Windows ist ein Markenname für Betriebssysteme des Unternehmens Microsoft. Ursprünglich war Microsoft Windows eine grafische Erweiterung des Betriebssystems MS- DOS (wie beispielsweise auch GEM oder PC/GEOS), inzwischen wurde dieser Entwicklungszweig zu Gunsten der Windows-NT- Produktlinie aufgegeben und Windows bezeichnet das Betriebssystem als Ganzes. Durch einen Programmfehler in der Funktion NetrGetJoinInformation() kommt es zu einem Pufferüberlauf, des es einem Angreifer erlaubt beliebigen Code zur Ausführung zu bringen. Auch hier existiert die Möglichkeit einer Code Execution durch den Angreifer, weshalb der Ratschlag zur zeitnahen Evaluierung und Implementierung der bereitgestellten Updates auch hier seine Gültigkeit behält. 3.6 Microsoft Windows AVI Media File Parsing Schwachstelle Einstufung: kritisch Datum: scip DB: Microsoft Windows ist ein Markenname für Betriebssysteme des Unternehmens Microsoft. Ursprünglich war Microsoft Windows eine grafische Erweiterung des Betriebssystems MS- DOS (wie beispielsweise auch GEM oder PC/GEOS), inzwischen wurde dieser Entwicklungszweig zu Gunsten der Windows-NT- Produktlinie aufgegeben und Windows bezeichnet das Betriebssystem als Ganzes. Viney Anantharaman von Adobe Systems fand verschiedene kritische Schwachstellen in 4/1

5 scip monthly Security Summary Zusammenhang mit dem Parsing von AVI Mediendateien, die von einem Angreifer mittels eines präparierten Files zur Ausführung eines Pufferüberlaufs missbraucht werden können. Schwachstellen in Fileformaten, speziell den üblichen Videoformaten sind als kritisch zu betrachten, zumal sie aus unserem digitalen Alltag nur schwerlich wegzudenken sind. Im Anbetracht der vorliegenden Lücken sollte zeitnah damit begonnen werden, die entsprechenden Patches zur Installation zu bringen. 3.7 Microsoft.NET Framework Denial of Service Einstufung: kritisch Datum: scip DB: ist eine von Microsoft entwickelte Software- Plattform. Diese umfasst eine Laufzeitumgebung, eine für Programmierer bestimmte Sammlung von Klassenbibliotheken (API) und angeschlossene Dienstprogramme (Services). Die Plattform ist bisher in ihrem vollen Umfang nur für Windows verfügbar. Anwendungen für.net laufen mit Projekten wie Mono oder dotgnu auch teilweise auf unixoiden Betriebssystemen. Alexander Pfandt fand in aktuellen Versionen eine Denial of Service Schwachstelle, die sich über speziell präparierte HTTP Requests ausnutzen lässt. Im Fall der vorliegenden Schwachstelle sind vor allem Serversysteme erhöht gefährdet, besonders zumal die Schwäche nach Aussagen des Herstellers bereits in limitiertem Masse aktiv ausgenutzt wird. 3.8 Microsoft Internet Explorer Tabellenoperationen Pufferüberlauf Einstufung: sehr kritisch Datum: scip DB: Windows Internet Explorer (früher Microsoft Internet Explorer; Abkürzung: IE oder MSIE) ist ein Webbrowser vom Softwarehersteller Microsoft für das Betriebssystem Microsoft Windows. Seit Windows 95 A ist der Internet Explorer fester Bestandteil von Windows- Betriebssystemen. Bei älteren Windows- Versionen kann er nachinstalliert werden. Die aktuelle Version ist Windows Internet Explorer 8. Gemäss eines Advisories, das ausserhalb Microsofts üblichen Patchzyklen erschienen ist, existiert in verschiedenen Versionen des Internet Explorers eine Schwachstelle, bei der in spezifischen, nicht genauer definierten Situationen Tabellenoperationen zu einem Pufferüberlauf führen, der die Ausführung beliebigen Codes erlaubt. Die drei Schwachstellen, die Microsoft im Rahmen eines ausserplanmässigen Patch Days adressiert, sind insgesamt alle als sehr kritisch zu betrachte. Ein Besuch auf einer manipulierten, möglicherweise durch Dritte kompromittierten, Webseite genügt, um eine Kompromittierung des eingesetzten Systems zu bewerkstelligen. 3.9 Microsoft Internet Explorer gelöschte Objekte Pufferüberlauf Einstufung: sehr kritisch Datum: scip DB: Windows Internet Explorer (früher Microsoft Internet Explorer; Abkürzung: IE oder MSIE) ist ein Webbrowser vom Softwarehersteller Microsoft für das Betriebssystem Microsoft Windows. Seit Windows 95 A ist der Internet Explorer fester Bestandteil von Windows- Betriebssystemen. Bei älteren Windows- Versionen kann er nachinstalliert werden. Die aktuelle Version ist Windows Internet Explorer 8. Gemäss eines Advisories, das ausserhalb Microsofts üblichen Patchzyklen erschienen ist, existiert in verschiedenen Versionen des Internet Explorers eine Schwachstelle, bei der gelöschte Objekte im Speicher angesprochen werden und dadurch ein Pufferüberlauf provoziert wird. Dadurch kann beliebiger Code zur Ausführung gebracht werden. Die drei Schwachstellen, die Microsoft im Rahmen eines ausserplanmässigen Patch Days adressiert, sind insgesamt alle als sehr kritisch zu betrachte. Ein Besuch auf einer manipulierten, möglicherweise durch Dritte kompromittierten, Webseite genügt, um eine Kompromittierung des eingesetzten Systems zu bewerkstelligen. 5/1

6 scip monthly Security Summary Statistiken Verletzbarkeiten Die im Anschluss aufgeführten Statistiken basieren auf den Daten der deutschsprachige Verletzbarkeitsdatenbank der scip AG. Zögern Sie nicht uns zu kontaktieren. Falls Sie spezifische Statistiken aus unserer Verletzbarkeitsdatenbank wünschen so senden Sie uns eine an Gerne nehmen wir Ihre Vorschläge entgegen. Auswertungsdatum: 19. August sehr kritisch kritisch problematisch Verlauf der Anzahl Schwachstellen pro Jahr Jun 9 - Jul 9 - Aug 9 - Jun 9 - Jul 9 - Aug sehr kritisch 5 kritisch problematisch Verlauf der letzten drei Monate Schwachstelle/Schweregrad Cross Site Scripting (XSS) Denial of Service (DoS) 1 Designfehler 1 3 Directory Traversal Eingabeungültigkeit Fehlende Authentifizierung Fehlende Verschlüsselung Fehlerhafte Leserechte Fehlerhafte Schreibrechte Format String Konfigurationsfehler Pufferüberlauf Race-Condition Schw ache Authentifizierung Schw ache Verschlüsselung Verlauf der letzten drei Monate Schwachstelle/Kategorie 6/1

7 scip monthly Security Summary Jan 9 - Feb 9 - Mrz 9 - Apr 9 - Mai 9 - Jun 9 - Jul 9 - Aug 9 - Sep 9 - Okt 9 - Nov 9 - Dez Registrierte Schwachstellen by scip AG Verlauf der Anzahl Schwachstellen pro Monat - Zeitperiode Jan 9 - Feb 9 - Mrz 9 - Apr 9 - Mai 9 - Jun 9 - Jul 9 - Aug 9 - Sep 9 - Okt 9 - Nov 9 - Dez sehr kritisch kritisch problematisch Verlauf der Anzahl Schwachstellen/Schweregrad pro Monat - Zeitperiode 9 7/1

8 scip monthly Security Summary Jan 9 - Feb 9 - Mrz 9 - Apr 9 - Mai 9 - Jun 9 - Jul 9 - Aug 9 - Sep 9 - Okt 9 - Nov 9 - Dez Cross Site Scripting (XSS) 1 Denial of Service (DoS) 1 Designfehler Directory Traversal Eingabeungültigkeit 1 1 Fehlende Authentifizierung Fehlende Verschlüsselung Fehlerhafte Leserechte Fehlerhafte Schreibrechte Format String Konfigurationsfehler Pufferüberlauf Race-Condition Schw ache Authentifizierung 1 Schw ache Verschlüsselung SQL-Injection Symlink-Schw achstelle Umgehungs-Angriff Unbekannt Verlauf der Anzahl Schwachstellen/Kategorie pro Monat - Zeitperiode 9 8/1

9 scip monthly Security Summary Jan 5 - Mrz 5 - Mai 5 - Jul 5 - Sep 5 - Nov 6 - Jan 6 - Mrz 6 - Mai 6 - Jul 6 - Sep 6 - Nov 7 - Jan 7 - Mrz 7 - Mai 7 - Jul 7 - Sep 7 - Nov 8 - Jan 8 - Mrz 8 - Mai 8 - Jul 8 - Sep 8 - Nov 9 - Jan 9 - Mrz 9 - Mai 9 - Jul Registrierte Schwachstellen by scip AG Verlauf der Anzahl Schwachstellen pro Monat seit Januar Ja Fe Mr Ap Ma Ju Jul Au Se Ok No De Ja Fe Mr Ap Ma Ju Jul Au Se Ok No De Ja Fe Mr Ap Ma Ju Jul Au Se Ok No De Ja Fe Mr Ap Ma Ju Jul Au Se Ok No De Ja Fe Mr Ap Ma Ju Jul Au sehr kritisch kritisch problematisch Verlauf der Anzahl Schwachstellen/Schweregrad pro Monat seit Januar 5 9/1

10 scip monthly Security Summary Cross Site Scripting (XSS) Denial of Service (DoS) Designfehler Directory Traversal Eingabeungültigkeit Fehlende Authentifizierung Fehlende Verschlüsselung Fehlerhafte Leserechte Fehlerhafte Schreibrechte Format String Konfigurationsfehler Pufferüberlauf Race-Condition Schw ache Authentifizierung Schw ache Verschlüsselung SQL-Injection Symlink-Schw achstelle Umgehungs-Angriff Unbekannt Verlauf der Anzahl Schwachstellen/Kategorie pro Monat seit Januar 5 1/1

11 scip monthly Security Summary Labs Wir sind ständig darum bemüht, die neuesten Errungenschaften im Bereich der Computersicherheit zu verstehen oder diesen gar selbst weiterzubringen. Die scip Labs ist unsere hauseigene Forschungsabteilung, die einerseits mit der Erarbeitung des Verständnisses für neue Technologien beschäftigt ist, andererseits eigene Entwicklungen in den technischen Bereichen Auditing, Exploiting und Forensics vorantreibt. Mit den scip Labs schaffen wir die Grundlage für die Beständigkeit und Verbesserung unserer technischen Dienstleistungen. Auf der Webseite der scip Labs (http://www.scip.ch/?labs.archiv) werden regelmässig Neuigkeiten und Forschungsberichte veröffentlicht. 5.1 Xdoor - Unsere Ajax-basierte Backdoor , Marc Ruef, Der Begriff Web. ist ein Buzzword, das die meisten Techniker nicht mehr hören können. Vorzugsweise deswegen, weil die meisten Projektleiter und Nutzer nicht wissen, was das überhaupt ist (und dass es die genutzten Mechanismen schon seit längerer Zeit gibt). Grundsätzlich versteht man darunter Ajax (Asynchronous JavaScript and XML), eine Kombination aus Javascript und XML. aufgenommen, welches die Funktionsweise und das Verhalten von Xdoor illustriert. Dieses haben wir nun mitunter auf YouTube online (http://www.youtube.com/watch?v=alwlqm6i8) gestellt, um sowohl unseren Kunden als auch technisch Interessierten diese Entwicklung aufzuzeigen. Mit Xdoor ist zurzeit folgendes möglich: Interaktion mit dem Client (Chat) Generieren von Fenstern und dynamischen Seiteninhalten (html) Zugriffe und Uploads von Dateien Starten von Applikationen (ActiveX) Einfluss auf Maus und Tastatur (ActiveX) Portscanning, Banner-Grabbing, Vulnerability Scanning Kompromittierung über Browser-Exploit Es muss erwähnt bleiben, dass es sich in der im Video gezeigten Version Xdoor 3. um eine ältere Implementierung vom handelt. Mittlerweile ist Xdoor 4.x im Einsatz, was ein Mehr an Modularität und dedizierte Payloads für browserspezifische Exploits unterstützt. Seit einiger Zeit wird diskutiert, ob und inwiefern sich damit Backdoors zur Kompromittierung und Fernsteuerung von Clients umsetzen lassen. Seit Anfang 8 arbeiten wir an einer Implementierung mit dem Projektnamen Xdoor (XmlHTTP Backdoor). Diese pflegen wir seit Mitte 8 in unseren Backdoor Tests einzusetzen. Zu Beginn dieses Jahres haben wir ein Video 11/1

12 scip monthly Security Summary Impressum Herausgeber: scip AG Badenerstrasse 551 CH-848 Zürich T Zuständige Person: Marc Ruef Security Consultant T scip AG ist eine unabhängige Aktiengesellschaft mit Sitz in Zürich. Seit der Gründung im September fokussiert sich die scip AG auf Dienstleistungen im Bereich Information Security. Unsere Kernkompetenz liegt dabei in der Überprüfung der implementierten Sicherheitsmassnahmen mittels Penetration Tests und Security Audits und der Sicherstellung zur Nachvollziehbarkeit möglicher Eingriffsversuche und Attacken (Log- Management und Forensische Analysen). Vor dem Zusammenschluss unseres spezialisierten Teams waren die meisten Mitarbeiter mit der Implementierung von Sicherheitsinfrastrukturen beschäftigen. So verfügen wir über eine Reihe von Zertifizierungen (Solaris, Linux, Checkpoint, ISS, Cisco, Okena, Finjan, TrendMicro, Symantec etc.), welche den Grundstein für unsere Projekte bilden. Das Grundwissen vervollständigen unsere Mitarbeiter durch ihre ausgeprägten Programmierkenntnisse. Dieses Wissen äussert sich in selbst geschriebenen Routinen zur Ausnutzung gefundener Schwachstellen, dem Coding einer offenen Exploiting- und Scanning Software als auch der Programmierung eines eigenen Log- Management Frameworks. Den kleinsten Teil des Wissens über Penetration Test und Log- Management lernt man jedoch an Schulen nur jahrelange Erfahrung kann ein lückenloses Aufdecken von Schwachstellen und die Nachvollziehbarkeit von Angriffsversuchen garantieren. Einem konstruktiv-kritischen Feedback gegenüber sind wir nicht abgeneigt. Denn nur durch angeregten Ideenaustausch sind Verbesserungen möglich. Senden Sie Ihr Schreiben an Das Errata (Verbesserungen, Berichtigungen, Änderungen) der scip monthly Security Summarys finden Sie online. Der Bezug des scip monthly Security Summary ist kostenlos. Anmelden! Abmelden! 1/1

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.07.2009

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.07.2009 scip monthly Security Summary 19.7.9 Contents 1. Editorial. scip AG Informationen 3. Neue Sicherheitslücken. Statistiken Verletzbarkeiten 5. Bilderrätsel. Impressum 1. Editorial Despotische Demokratie

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.04.2009

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.04.2009 Contents 1. Editorial. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken 5. Bilderrätsel 6. Impressum 1. Editorial Prinzip der Datenklassifizierung Wer an Computersicherheit denkt, der denkt

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.05.2009

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.05.2009 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Impressum 1. Editorial Das Cookie ist mächtiger als das Schwert Unsere Firma

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.09.2009

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.09.2009 scip monthly Security Summary 19.9.9 Contents 1. Editorial. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Nichtexistenz

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.08.2011

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.08.2011 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Back to the Future Ich bin ein unermüdlicher Verfechter

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.11.2010

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.11.2010 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Geschlossene Systeme und ihre Zukunft am Beispiel

Mehr

scip ag Contents 1. Editorial scip monthly Security Summary 19.07.2010

scip ag Contents 1. Editorial scip monthly Security Summary 19.07.2010 scip ag Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Infiltration eines Netzwerks Ein krimineller

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.06.2008

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.06.2008 scip monthly Security Summary 19.6.8 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Fachartikel 6. Bilderrätsel 7. Impressum 1. Editorial Von

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.10.2006

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.10.2006 scip monthly Security Summary 19.1.6 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Literaturverzeichnis 7. Impressum 1. Editorial

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.04.2011

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.04.2011 scip monthly Security Summary 19.4.11 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Das Gesetz

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.03.2011

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.03.2011 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Meine kurze Geschichte des Security Testing Mit

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.04.2007

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.04.2007 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Literaturverzeichnis 7. Impressum 1. Editorial Software Analyse Das Untersuchen

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.12.2006

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.12.2006 scip monthly Security Summary 19.12.6 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Literaturverzeichnis 7. Impressum 1. Editorial

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.08.2010

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.08.2010 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Das Pentesting Experten System Seit meinem Eintritt

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.11.2006

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.11.2006 scip monthly Security Summary 19.11.6 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Literaturverzeichnis 7. Impressum 1. Editorial

Mehr

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

Software as a Service zur Harmonisierung der QS mit digitaler Farbbildverarbeitung

Software as a Service zur Harmonisierung der QS mit digitaler Farbbildverarbeitung Software as a Service zur Harmonisierung der QS mit digitaler Farbbildverarbeitung Dietrich Hofmann, Randolf Margull, Paul-Gerald Dittrich 03. Kollaboration Forum NEMO SpectroNet 26. November 2008 in Jena

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.05.2008

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.05.2008 scip monthly Security Summary 19.5.8 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Impressum 1. Editorial Unter Blinden wird

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.04.2012

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.04.2012 scip monthly Security Summary 19.4.2 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Risikomanagement

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.09.2007

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.09.2007 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Impressum 1. Editorial Hacking Voice-over-IP for Fun and Profit Es ist Dienstag

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.03.2007

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.03.2007 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Literaturverzeichnis 7. Impressum 1. Editorial Eingabeüberpüfung? Wozu?! Ich

Mehr

Schönes neues Internet

Schönes neues Internet Schönes neues Internet Markus de Brün Bundesamt für Sicherheit in der Informationstechnik AK Sicherheit, 7. Oktober 2009 Markus de Brün 7. Oktober 2009 Folie 1 Agenda Gefahr aus dem Web aktuelle Lage &

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.01.2006

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.01.2006 scip monthly Security Summary 19.01.6 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Interview 6. Kreuzworträtsel 7. Literaturverzeichnis 8.

Mehr

1 von 5 03.03.2010 19:10

1 von 5 03.03.2010 19:10 Statistik für kindgerechte-schule.ch (-02) - main 1 von 5 03.03. 19:10 Zuletzt aktualisiert: 03.03. - 15:55 Zeitraum: OK Zeitraum Monat Feb Erster Zugriff 01.02. - 00:18 Letzter Zugriff 28.02. - 23:53

Mehr

Nutzung der VDI Umgebung

Nutzung der VDI Umgebung Nutzung der VDI Umgebung Inhalt 1 Inhalt des Dokuments... 2 2 Verbinden mit der VDI Umgebung... 2 3 Windows 7... 2 3.1 Info für erfahrene Benutzer... 2 3.2 Erklärungen... 2 3.2.1 Browser... 2 3.2.2 Vertrauenswürdige

Mehr

Kombinierte Attacke auf Mobile Geräte

Kombinierte Attacke auf Mobile Geräte Kombinierte Attacke auf Mobile Geräte 1 Was haben wir vorbereitet Man in the Middle Attacken gegen SmartPhone - Wie kommen Angreifer auf das Endgerät - Visualisierung der Attacke Via Exploit wird Malware

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.01.2007

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.01.2007 scip monthly Security Summary 19.1.7 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Literaturverzeichnis 7. Impressum 1. Editorial

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.05.2007

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.05.2007 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Literaturverzeichnis 7. Impressum 1. Editorial Real World Testing vs. Formale

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.05.2006

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.05.2006 scip monthly Security Summary 19.5.6 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Interview 6. Kreuzworträtsel 7. Literaturverzeichnis 8.

Mehr

Häufigste Security-Lücken

Häufigste Security-Lücken Häufigste Security-Lücken Andreas Wisler GO OUT Production GmbH Dipl. Ing FH, CISSP, ISO 27001 Lead Auditor www.gosecurity.ch / wisler@goout.ch Agenda Gefahren Social Engineering Penetration Test Interne

Mehr

Sun/Oracle Java Version: 1.6.0, neuer als 1.6.0_11

Sun/Oracle Java Version: 1.6.0, neuer als 1.6.0_11 Systemanforderungen für EnlightKS Online Certification Management Services ET2.13 Juni 2011 EnlightKS Candidate, EnlightKS TestStation Manager, EnlightKS Certification Manager Betriebssystem: Microsoft

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary

s c i p a g Contents 1. Editorial scip monthly Security Summary scip monthly Security Summary 19.1.2 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Whitehate

Mehr

1 von 6 01.01.2011 09:55

1 von 6 01.01.2011 09:55 Statistik für sggelterkinden.ch () - main 1 von 6 01.01.2011 09:55 Zuletzt aktualisiert: 01.01.2011-06:52 Zeitraum: OK Zusammenfassung Zeitraum Jahr Erster Zugriff 01.01. - 00:17 Letzter Zugriff 31.12.

Mehr

Neues aus dem DFN-CERT. 47. DFN-Betriebstagung - Forum Sicherheit 16. Oktober 2007 Andreas Bunten, DFN-CERT

Neues aus dem DFN-CERT. 47. DFN-Betriebstagung - Forum Sicherheit 16. Oktober 2007 Andreas Bunten, DFN-CERT Neues aus dem DFN-CERT 47. DFN-Betriebstagung - Forum Sicherheit 16. Oktober 2007 Andreas Bunten, DFN-CERT Veranstaltungen Tutorium DFN-PKI in der Praxis 22./23. Nov. 2007 in München (Ismaning) Telekom

Mehr

Wenn der eigene Prozessor dabei ist und ein YES hat, heißt es noch nicht, dass der Computer bzw. das Bios richtig eingestellt sind.

Wenn der eigene Prozessor dabei ist und ein YES hat, heißt es noch nicht, dass der Computer bzw. das Bios richtig eingestellt sind. Bios einstellen Wenn der eigene Prozessor dabei ist und ein YES hat, heißt es noch nicht, dass der Computer bzw. das Bios richtig eingestellt sind. Hilfestellung bekommt man durch das ausführbare Tool

Mehr

Installationsanleitung für das Touch Display: S170E1-01 LCD A170E1-T3 ChiMei - egalaxy

Installationsanleitung für das Touch Display: S170E1-01 LCD A170E1-T3 ChiMei - egalaxy Installationsanleitung für das Touch Display: S170E1-01 LCD A170E1-T3 ChiMei - egalaxy 1. Schnellanleitung - Seite 2 2. Ausführlichere Anleitung - Seite 3 a) Monitor anschließen - Seite 3 Alternativer

Mehr

1 von 6 02.01.2011 11:44

1 von 6 02.01.2011 11:44 Statistik für sggelterkinden.ch () - main 1 von 6 02.01.2011 11:44 Zuletzt aktualisiert: 02.01.2011-08:00 Zeitraum: OK Zusammenfassung Zeitraum Jahr Erster Zugriff 14.07. - 20:02 Letzter Zugriff 31.12.

Mehr

Inhalt und Ziele. Homepage von Anfang an. Herzlich Willkommen! HTML Syntax; grundlegende Grafik- und Bildbearbeitung für das Internet;

Inhalt und Ziele. Homepage von Anfang an. Herzlich Willkommen! HTML Syntax; grundlegende Grafik- und Bildbearbeitung für das Internet; Homepage von Anfang an Herzlich Willkommen! Caroline Morhart-Putz caroline.morhart@wellcomm.at Inhalt und Ziele!! HTML Grundlagen - die Sprache im Netz; HTML Syntax;!! Photoshop - Optimieren von Bildern,

Mehr

Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools

Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools jochen.schlichting@secorvo.de Seite 1 Inhalt Einführung: Typische Angriffe

Mehr

Java Applet Alternativen

Java Applet Alternativen White Paper Java Applet Alternativen Version 1.0, 21.01.2014 Tobias Kellner tobias.kellner@egiz.gv.at Zusammenfassung: Aufgrund diverser Meldungen über Sicherheitslücken in Java haben in letzter Zeit Browser-Hersteller

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.02.2009

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.02.2009 scip monthly Security Summary 19.2.9 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Impressum 1. Editorial Banken, Terrorisums

Mehr

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen.

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen. Philosophie & Tätigkeiten Wir sind ein Unternehmen, welches sich mit der Umsetzung kundenspezifischer Softwareprodukte und IT-Lösungen beschäftigt. Wir unterstützen unsere Kunde während des gesamten Projektprozesses,

Mehr

http://login-38.hoststar.ch/user/web146/awstats.php?month=06&year=2014&output=...

http://login-38.hoststar.ch/user/web146/awstats.php?month=06&year=2014&output=... Statistik für web146 (-06) - main http://login-38.hoststar.ch/user/web146/awstats.php?month=06&year=&output=... Page 1 of 5 02.07. Statistik für: web146 Zuletzt aktualisiert: 01.07. - 17:27 Zeitraum: Juni

Mehr

Protect 7 Anti-Malware Service. Dokumentation

Protect 7 Anti-Malware Service. Dokumentation Dokumentation Protect 7 Anti-Malware Service 1 Der Anti-Malware Service Der Protect 7 Anti-Malware Service ist eine teilautomatisierte Dienstleistung zum Schutz von Webseiten und Webapplikationen. Der

Mehr

http://login-38.hoststar.ch/user/web146/awstats.php?month=05&year=2014&output=...

http://login-38.hoststar.ch/user/web146/awstats.php?month=05&year=2014&output=... Statistik für web146 (-05) - main http://login-38.hoststar.ch/user/web146/awstats.php?month=05&year=&output=... Page 1 of 6 10.07. Statistik für: web146 Zuletzt aktualisiert: 10.07. - 20:23 Zeitraum: Mai

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

KVN-Portal. das Onlineportal der KVN. Dokumentation für Microsoft Windows. Version 4.0 vom 02.12.2015 Kassenärztliche Vereinigung Niedersachsen

KVN-Portal. das Onlineportal der KVN. Dokumentation für Microsoft Windows. Version 4.0 vom 02.12.2015 Kassenärztliche Vereinigung Niedersachsen Kassenärztliche Vereinigung Niedersachsen Inhaltsverzeichnis 1. Allgemein... 3 1.1 Betriebssysteme und Internet Browser... 3 2. Zugang... 4 2.1 Anmeldung... 4 2.2 VPN Verbindung herstellen... 4 2.3 Browser

Mehr

Keine Kompromisse. Optimaler Schutz für Desktops und Laptops CLIENT SECURITY

Keine Kompromisse. Optimaler Schutz für Desktops und Laptops CLIENT SECURITY Keine Kompromisse Optimaler Schutz für Desktops und Laptops CLIENT SECURITY Aktuelle Software ist der Schlüssel zur Sicherheit 83 % [1] der Top-Ten-Malware hätten mit aktueller Software vermieden werden

Mehr

Soziale Netzwerke Vielschichtige Gefahren eines neuen Zeitalters

Soziale Netzwerke Vielschichtige Gefahren eines neuen Zeitalters Soziale Netzwerke Vielschichtige Gefahren eines neuen Zeitalters Marc Ruef www.scip.ch ISSS 08. Juni 2011 Zürich, Schweiz Agenda Soziale Netze Vielschichte Gefahren 1. Einführung 2 min Was sind Soziale

Mehr

DOK. ART GD1. Citrix Portal

DOK. ART GD1. Citrix Portal Status Vorname Name Funktion Erstellt: Datum DD-MMM-YYYY Unterschrift Handwritten signature or electronic signature (time (CET) and name) 1 Zweck Dieses Dokument beschreibt wie das auf einem beliebigem

Mehr

Datenbank-basierte Webserver

Datenbank-basierte Webserver Datenbank-basierte Webserver Datenbank-Funktion steht im Vordergrund Web-Schnittstelle für Eingabe, Wartung oder Ausgabe von Daten Datenbank läuft im Hintergrund und liefert Daten für bestimmte Seiten

Mehr

Think Mobile Effiziente Entwicklungsstrategien im GIS. Kai Hoffmann, BTC AG

Think Mobile Effiziente Entwicklungsstrategien im GIS. Kai Hoffmann, BTC AG Think Mobile Effiziente Entwicklungsstrategien im GIS Kai Hoffmann, BTC AG Mobile Endgeräte Was ist zu beachten? In dieser Betrachtung Smartphone Tablet Unterschiedliche Hardwareausstattung Bildschirmgröße

Mehr

Schwachstellenanalyse 2012

Schwachstellenanalyse 2012 Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary

s c i p a g Contents 1. Editorial scip monthly Security Summary scip monthly Security Summary 9.6. Contents. Editorial. scip AG Informationen 3. Neue Sicherheitslücken. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum. Editorial Hardening Massnahmen

Mehr

Aufbau einer Testumgebung mit VMware Server

Aufbau einer Testumgebung mit VMware Server Aufbau einer Testumgebung mit VMware Server 1. Download des kostenlosen VMware Servers / Registrierung... 2 2. Installation der Software... 2 2.1 VMware Server Windows client package... 3 3. Einrichten

Mehr

24.04.2010 Statistik für www.faustballcenter.ch (2009)

24.04.2010 Statistik für www.faustballcenter.ch (2009) 24.04.2010 Statistik für www.faustballcenter.ch () Statistik für: www.faustballcenter.ch Zuletzt aktualisiert: 24.04.2010-02:53 Zeitraum: - Jahr - OK Wann: Wer: Navigation: Verweise: Sonstige: Monatliche

Mehr

Hilfe zu XR PACS ImageproWeb. Inhalt. Windows Updates. IE11 und Windows 7/8

Hilfe zu XR PACS ImageproWeb. Inhalt. Windows Updates. IE11 und Windows 7/8 Hilfe zu XR PACS ImageproWeb Inhalt Hilfe zu XR PACS ImageproWeb... 1 Windows Updates... 1 IE11 und Windows 7/8... 1 IE 11 und XRPCSImagePro mit ActiveX... 2 XR PACS ImagePro Web installieren... 3 XRPACSImagePro

Mehr

Mobile Zusammenarbeit in mittelständischen Unternehmensnetzwerken

Mobile Zusammenarbeit in mittelständischen Unternehmensnetzwerken Mobile Zusammenarbeit in mittelständischen Unternehmensnetzwerken Dietrich Hofmann SaaSKon 11.-12. November 2008 in Stuttgart Gliederung 1. SaaS-Lücken in KMU und Netzwerken 2. SaaS-Chancen für KMU und

Mehr

AV-TEST. Sicherheitslage Android

AV-TEST. Sicherheitslage Android AV-TEST Sicherheitslage Android Sicherheitslage Android 1 SICHERHEITSLAGE ANDROID MEHR ALS 30 IT-SPEZIALISTEN MEHR ALS 15 JAHRE EXPERTISE IM BEREICH ANTIVIREN-FORSCHUNG UNTERNEHMENSGRÜNDUNG 2004 EINE DER

Mehr

S7: Java als Sicherheitsrisiko security-zone Renato Ettisberger

S7: Java als Sicherheitsrisiko security-zone Renato Ettisberger S7: Java als Sicherheitsrisiko security-zone 2011 Renato Ettisberger renato.ettisberger@switch.ch Zürich, 11. Oktober 2011 Security (SWITCH-CERT) Derzeit 7 Mitarbeiter, bald 10 Unser Team erbringt Security-Dienstleistungen

Mehr

Reale Angriffsszenarien Clientsysteme, Phishing & Co.

Reale Angriffsszenarien Clientsysteme, Phishing & Co. IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Reale Angriffsszenarien Clientsysteme, Phishing & Co. hans-joachim.knobloch@secorvo.de Security Consulting GmbH, Karlsruhe Seite 1 Inhalt Viren

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.10.2007

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.10.2007 scip monthly Security Summary 19.1.7 Contents 1. Editorial. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Fachartikel 6. Bilderrätsel 7. Impressum 1. Editorial It's

Mehr

Forensische Analyse einer Online Durchsuchung

Forensische Analyse einer Online Durchsuchung Forensische Analyse einer Online Durchsuchung Felix C. Freiling Universität Mannheim Lehrstuhl für Praktische Informatik 1 Es war einmal... Tag der Informatik, Universität Erlangen, 25. April 2008 4/21

Mehr

Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI

Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI Andreas Könen Vizepräsident, Bundesamt für Sicherheit in der Informationstechnik Hacking für Deutschland!? Aufgaben und Herausforderungen

Mehr

Software / Cross Media Design KERIO MailServer

Software / Cross Media Design KERIO MailServer Software / Cross Media Design KERIO MailServer Seite 1 / 5 KERIO - Kerio MailServer Der MailServer von Kerio für Mac OS X, Windows, Red Hat und SUSE Linux bietet u. a. folgende Features: * Verschlüsselte

Mehr

Gezieltes Kontakt- und Kundenmanagement. Die Software für Ihren Erfolg 2,8 Millionen Anwender weltweit! Installationsleitfaden

Gezieltes Kontakt- und Kundenmanagement. Die Software für Ihren Erfolg 2,8 Millionen Anwender weltweit! Installationsleitfaden ACT! 10 Premium ST Gezieltes Kontakt- und Kundenmanagement. Die Software für Ihren Erfolg 2,8 Millionen Anwender weltweit! Installationsleitfaden ACT! 10 Premium ST Installationsleitfaden ACT! 10 Premium

Mehr

Web Exploit Toolkits - Moderne Infektionsroutinen -

Web Exploit Toolkits - Moderne Infektionsroutinen - Web Exploit Toolkits - Moderne Infektionsroutinen - Dominik Birk - Christoph Wegener 16. DFN Workshop Sicherheit in vernetzten Systemen Hannover, 18. März 2009 1 Die Vortragenden Dominik Birk Mitarbeiter

Mehr

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript

Mehr

DAS SIND WIR. Kronthalerstraße. 67 61462 Königstein phone +49 (0) 6173 325 9090 fax +49 (0) 6173 702 76 72 mail info@nolinkup.com web nolinkup.

DAS SIND WIR. Kronthalerstraße. 67 61462 Königstein phone +49 (0) 6173 325 9090 fax +49 (0) 6173 702 76 72 mail info@nolinkup.com web nolinkup. START-UP. DAS SIND WIR. START-UP. Mit langjähriger Erfahrung und fundiertem Wissen in Unix Server basierenden IT Systemen, spezialisiert auf MAC OS X Server/Storage Lösungen in komplexen, homogenen und

Mehr

Tipps zur Verbesserung der Sicherheit im Online-Banking

Tipps zur Verbesserung der Sicherheit im Online-Banking Tipps zur Verbesserung der Sicherheit im Online-Banking Seite 1 von 7 Inhaltsverzeichnis 1 den Computer (PC)...4 2 Besonderes Augenmerk auf den Internet-Browser...4 3 Vorsichtiger Umgang mit den Geheimdaten...5

Mehr

Daten übertragen auf den PC und zurück:

Daten übertragen auf den PC und zurück: Daten übertragen auf den PC und zurück: Um das Smartphone mit dem PC zu verbinden gibt es unterschiedliche Möglichkeiten. Das Benutzen einer sogenannten PC Suite Der Hersteller Samsumg (im Kurs am häufigsten

Mehr

IT Systeme / Mobile Kommunikation HOB privacy-cube - Remote Desktop Zugang über das Internet

IT Systeme / Mobile Kommunikation HOB privacy-cube - Remote Desktop Zugang über das Internet IT Systeme / Mobile Kommunikation HOB privacy-cube - Remote Desktop Zugang über das Internet Seite 1 / 5 HOB privacy-cube Wir können ihnen das Gerät nach ihren Wünschen vorkonfigurieren. Angaben des Herstellers

Mehr

Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails?

Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails? Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails? Advisor for your information security. Essen, 10.-13. Oktober 2006 Version 1.0 SEC Consult Advisor for your information security Information

Mehr

Der zuverlässige Komplettschutz für moderne Unternehmensnetze

Der zuverlässige Komplettschutz für moderne Unternehmensnetze Der zuverlässige Komplettschutz für moderne Unternehmensnetze Der zuverlässige Komplettschutz für moderne Unternehmensnetze Die Lösungen der Kaspersky Open Space Security schützen alle Typen von Netzknoten

Mehr

Sophos Anti-Virus. Felizitas Heinebrodt. Technische Hochschule Nürnberg Rechenzentrum Kesslerplatz 12, 90489 Nürnberg. Version 12 September 2014

Sophos Anti-Virus. Felizitas Heinebrodt. Technische Hochschule Nürnberg Rechenzentrum Kesslerplatz 12, 90489 Nürnberg. Version 12 September 2014 Sophos Anti-Virus Felizitas Heinebrodt Technische Hochschule Nürnberg Rechenzentrum Kesslerplatz 12, 90489 Nürnberg Version 12 September 2014 DokID: sophos Vers. 12, 20.08.2015, RZ/THN Informationen des

Mehr

Jugendschutz und Sicherheit am PC und im World Wide Web

Jugendschutz und Sicherheit am PC und im World Wide Web Jugendschutz und Sicherheit am PC und im World Wide Web In der Schule, im Büro oder in der Freizeit, längst sind das Internet und der PC für viele von uns ein fester Bestandteil unseres täglichen Lebens.

Mehr

FileMaker. Ausführen von FileMaker Pro 8 unter Windows Server 2003-Terminaldiensten

FileMaker. Ausführen von FileMaker Pro 8 unter Windows Server 2003-Terminaldiensten FileMaker Ausführen von FileMaker Pro 8 unter Windows Server 2003-Terminaldiensten 2001-2005 FileMaker, Inc. Alle Rechte vorbehalten. FileMaker, Inc. 5201 Patrick Henry Drive Santa Clara, California 95054,

Mehr

Merkblatt: Sichere E-Mail-Kommunikation zur datenschutz cert GmbH

Merkblatt: Sichere E-Mail-Kommunikation zur datenschutz cert GmbH Version 1.3 März 2014 Merkblatt: Sichere E-Mail-Kommunikation zur datenschutz cert GmbH 1. Relevanz der Verschlüsselung E-Mails lassen sich mit geringen Kenntnissen auf dem Weg durch die elektronischen

Mehr

TDT Distribution Specialist. North, Central & Eastern Europe Distribution Network

TDT Distribution Specialist. North, Central & Eastern Europe Distribution Network TDT Distribution Specialist North, Central & Eastern Europe Distribution Network for the best customer in-store experience Neue Mobil Telefone kommen laufend auf den Markt und werden immer komplexer durch

Mehr

Leistungsbeschreibung tengo desktop

Leistungsbeschreibung tengo desktop 1/5 Inhalt 1 Definition 2 2 Leistung 2 3 Optionale Leistungen 3 4 Systemanforderungen, Mitwirkungen des Kunden 3 4.1 Mitwirkung des Kunden 4 4.1.1 Active Directory Anbindung 4 4.1.2 Verwaltung über das

Mehr

Vielen Dank, dass Sie sich für die Software der myfactory International GmbH entschieden haben.

Vielen Dank, dass Sie sich für die Software der myfactory International GmbH entschieden haben. Vielen Dank, dass Sie sich für die Software der myfactory International GmbH entschieden haben. Um alle Funktionen unserer Software nutzen zu können, sollten Sie bitte in Ihrem Browser folgende Einstellungen

Mehr

Rund um Sorglos. Information Communication Technology Ebner e.u. für Home Office oder Small Office. [Datum einfügen]

Rund um Sorglos. Information Communication Technology Ebner e.u. für Home Office oder Small Office. [Datum einfügen] Information Communication Technology Ebner e.u. für Home Office oder Small Office [Datum einfügen] Ingeringweg 49 8720 Knittelfeld, Telefon: 03512/20900 Fax: 03512/20900-15 E- Mail: jebner@icte.biz Web:

Mehr

Installationshandbuch

Installationshandbuch Installationshandbuch Erforderliche Konfiguration Installation und Aktivierung - 1 - Erforderliche Konfiguration Programme der 4D v15 Produktreihe benötigen folgende Mindestkonfiguration: Windows OS X

Mehr

3 OS X Yosemite / Basiswissen

3 OS X Yosemite / Basiswissen 3 OS X Yosemite / Basiswissen Dafür ist es ein»grundgesetz«, die computereigenen Anwendungen stets auf dem neuesten Stand zu halten so können Anbieter wie eben Apple bei Bedarf schnell Sicherheitslücken

Mehr

Ihre IMS HEALTH IQ Praxisanalyse. - Installationsanleitung Version 2.0

Ihre IMS HEALTH IQ Praxisanalyse. - Installationsanleitung Version 2.0 Ihre IMS HEALTH IQ Praxisanalyse - Installationsanleitung Version 2.0 Inhaltsverzeichnis Seite I. Systemvoraussetzungen 3 II. Quick-Guide 4 III. Anleitung Schritt für Schritt 5 Installationsstartseite

Mehr

DYNAMISCHE SEITEN. Warum Scriptsprachen? Stand: 11.04.2005. CF Carola Fichtner Web-Consulting http://www.carola-fichtner.de

DYNAMISCHE SEITEN. Warum Scriptsprachen? Stand: 11.04.2005. CF Carola Fichtner Web-Consulting http://www.carola-fichtner.de DYNAMISCHE SEITEN Warum Scriptsprachen? Stand: 11.04.2005 CF Carola Fichtner Web-Consulting http://www.carola-fichtner.de I N H A L T 1 Warum dynamische Seiten?... 3 1.1 Einführung... 3 1.2 HTML Seiten...

Mehr

PRESSEMITTEILUNG. IGEL Technology: neue Microsoft Windows XP Embedded-Firmware und erweiterte Remote Management Suite

PRESSEMITTEILUNG. IGEL Technology: neue Microsoft Windows XP Embedded-Firmware und erweiterte Remote Management Suite PRESSEMITTEILUNG IGEL Technology: neue Microsoft Windows XP Embedded-Firmware und erweiterte Remote Management Suite Bremen, 12. Juni 2007 IGEL Technology präsentiert umfangreiche Software-Updates und

Mehr

Erhöhte Sicherheit im Microsoft Internet Explorer

Erhöhte Sicherheit im Microsoft Internet Explorer Erhöhte Sicherheit im Microsoft Internet Explorer Version 1.3 Weitere Texte finden Sie unter www.buerger-cert.de. Wozu höhere Sicherheit im Internet Explorer? Dieses Dokument beschreibt die Schritte, um

Mehr

Live Hacking auf eine Citrix Umgebung

Live Hacking auf eine Citrix Umgebung Live Hacking auf eine Citrix Umgebung Ron Ott + Andreas Wisler Security-Consultants GO OUT Production GmbH www.gosecurity.ch GO OUT Production GmbH Gegründet 1999 9 Mitarbeiter Dienstleistungen: 1 Einleitung

Mehr

Sicherheit in Rich Internet Applications

Sicherheit in Rich Internet Applications Sicherheit in Rich Internet Applications Florian Kelbert 14.02.2008 Seite 2 Sicherheit in Rich Internet Applications Florian Kelbert 14.02.2008 Inhaltsverzeichnis Grundlagen Ajax und Mashups Adobe Flash-Player

Mehr

Software / Cross Media Design ExtremeZ-IP 5.3

Software / Cross Media Design ExtremeZ-IP 5.3 Software / Cross Media Design ExtremeZ-IP 5.3 Seite 1 / 5 Extreme Z-IP 5,3 Neu Kompatibilität ohne Kompromisse Jetzt noch mehr Produktivität zu erreichen mit der modernsten Kompatibilität zwischen Mac-Desktops

Mehr

Installationshandbuch

Installationshandbuch Installationshandbuch Inhaltsverzeichnis Installationsoptionen... 3 Installation von RM TM Easiteach TM Next Generation... 4 Installation von Corbis Multimedia Asset Pack... 10 Installation von Text to

Mehr

Schulungskatalog 1. Halbjahr 2011

Schulungskatalog 1. Halbjahr 2011 STORE SERVICE SYSTEMHAUS Schulungskatalog 1. Halbjahr 2011 Sandower Str. 59 / Ecke Altmarkt in Cottbus Info-Telefon: 0355 4944441 info@promediastore.de www.promediastore.de Gewusst wie? Wir zeigen es Ihnen

Mehr

Anleitung zum Prüfen von WebDAV

Anleitung zum Prüfen von WebDAV Brainloop Secure Dataroom Version 8.20 Copyright Brainloop AG, 2004-2014. Alle Rechte vorbehalten. Sämtliche verwendeten Markennamen und Markenzeichen sind Eigentum der jeweiligen Markeninhaber. Inhaltsverzeichnis

Mehr

UCS 2.4 Sicherheits-Update 3

UCS 2.4 Sicherheits-Update 3 UCS 2.4 Sicherheits-Update 3 Thema: Änderungen im Sicherheitsupdate 3 für UCS 2.4 Datum: 3. Mai 2011 Seitenzahl: 7 Versionsnummer: 8598 Autoren: Univention GmbH feedback@univention.de Univention GmbH Mary-Somerville-Straße

Mehr

quickterm 5.5.2 Systemvoraussetzungen Version: 1.0

quickterm 5.5.2 Systemvoraussetzungen Version: 1.0 quickterm 5.5.2 Systemvoraussetzungen Version: 1.0 16.02.2015 Inhaltsverzeichnis Inhaltsverzeichnis 1 Systemvoraussetzungen quickterm Server 3 2 Systemvoraussetzungen quickterm Client 5 3 Systemvoraussetzungen

Mehr

Browser Einrichtung myfactory

Browser Einrichtung myfactory Seite 1 von 19 Browser Einrichtung myfactory Vielen Dank, dass Sie sich für die Software der myfactory International GmbH entschieden haben. Um alle Funktionen unserer Software nutzen zu können, befolgen

Mehr