s c i p a g Contents 1. Editorial scip monthly Security Summary

Größe: px
Ab Seite anzeigen:

Download "s c i p a g Contents 1. Editorial scip monthly Security Summary 19.10.2007"

Transkript

1 scip monthly Security Summary Contents 1. Editorial. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Fachartikel 6. Bilderrätsel 7. Impressum 1. Editorial It's all about math! Vor einiger Zeit erhielt ich ein eines Kollegen. Er hat eine Professur für Mathematik inne. Ihn kennengelernt habe ich bei einem Projekt eines Kunden. Er war für diesen mit seiner Einzelfirma als strategischen Berater tätig und wir führten die Sicherheitsüberprüfung der installierten Online-Banking-Umgebung durch. Wir haben aufgrund ähnlicher Interessen den sporadischen Kontakt auch nach Abschluss des Projekts gehalten. In seinem Schreiben wies er mich darauf hin, dass er in Bälde an seiner Fakultät einen Vortrag zur Serie Numb3rs und den darin genutzten mathematischen Verfahren halten würde. Er wusste, dass ich mich für eben diese begeistern könne und deshalb von seiner Arbeit sehr angetan sein würde. Doch leider konnte ich an der besagten Vorlesung aufgrund eines Terminkonflikts nicht teilnehmen. Dies teilte ich ihm halt mit Bedauern per mit. Zeitgleich berichtete ich ihm davon, dass ich erst kürzlich der Firmgötti meiner Cousine war. Während wir auf dem Weg in die Kirche waren, eigentlich sind derlei Anlässe nicht so mein Ding, plauderte ich mit ihrem kleinen Bruder. Der 1- jährige ist ein ganz wiffer Kerl und so wollte ich wissen, welches sein Lieblingsfach in der Schule sei. Er zählte, und so habe ich es erwartet, Turnen und Zeichnen auf. Ich fragte nach, wie es denn um Mathematik stünde. Seine Antwort darauf: "Das ist langweilig, denn da geht es ja nur um Zahlen." Die Autofahrt war zu kurz, alsdass ich ihn ersthaft für die Nützlichkeit dieser klassischen Disziplin begeistern konnte. Deshalb plauderten wir stattdessen über Skateboards, Tony Hawk und meine neue Playstation 3. Er ist sehr unterhaltsam. Es ist wirklich unglaublich schade, dass so vielen Menschen in der Schule der Spass an verschiedenen Dingen verdorben wird. Seien dies nun die Oberstufenschüler, die zur Lesung von Friedrich Dürrenmatt und Hermann Hesse gezwungen werden und danach nie wieder freiwillig ein Buch anrühren. Oder halt eben die Schüler, die wegen eines staubigen Mathematiklehrers nie in Kontakt mit Probabilistik und Trajektorie kommen. Ohne diese hätte Charlie Eppes die Pilotfolge nie so schön meistern können! Aufgrund eines umfassenden Bekanntenkreises und sporadischer Tätigkeit als Dozent habe ich immerwieder Kontakt mit Lehrern. Das Leben dieser ist wirklich unglaublich schwierig, das will ich gar nicht bestreiten. Und die meisten von ihnen, wenigstens zu Beginn ihrer Tätigkeit, verfolgen die edlen Ziele der Wissens- und Wertevermittlung. Und dennoch tragen Sie genau mit ihrer Menschlichkeit die Mitschuld am Versagen der Schule. Da gibt es nun die technophoben Kindergartenlehrerinnen, die ihre Kinder in eine Welt voller Technologien schubsen, ohne sie irgendwie darauf vorbereiten zu können oder wollen. Oder die bornierten Lehrer, die die Kinder als dumme und verdorbene Generation X ansehen. Die Förderung, wie sie dringend gebraucht werden würde, bleibt sodann aus. Die pubertäre Rebellion mündet dann darin, sich für nichts und niemanden mehr begeistern zu können. Mir ging es da in der Schule nicht viel anders... 1/19

2 scip monthly Security Summary Ich selbst habe keine Kinder; zum Glück. Und deshalb laufe ich hier Gefahr, über etwas zu schreiben, von dem ich nun gar keine Ahnung habe. Und in der Tat frage ich mich, ob ich meine Kinder gut erziehen, ihnen die richtigen Werte mit auf den Weg geben und sie für die Schönheiten des Lebens begeistern könnte. Wahrscheinlich werde ich es halten wie meine Eltern und meine Zöglinge zu nichts zwingen, was sie nicht machen wollen (Fördern und Fordern). Zwar empfinde ich es als sehr schade, dass ich aufgrund des fehlenden Drucks meiner Eltern nie ein Studium angefangen habe. Wer weiss, vielleicht wäre mein Leben aber viel schlechter verlaufen, wären meine Eltern um einen akademischen Grad für mich bemüht gewesen. Die Eltern und auch die Lehrer sollten sich stattdessen darum bemühen, als gutes Vorbild voranzugehen. Auch wenn ich in der Aggressionsforschung das Lernen am Modell zu grossen Teilen in Frage stelle (z.b. Einfluss gewalttätiger Computerspiele auf die eigene Aggressionsbereitschaft), ist es wohl gerade in Bezug auf positive Eigenschaften das längerfristig wirksamste Mittel grösster Nachhaltigkeit. Schliesslich konnte ich mich für Literatur nur dank meinem quirligen Deutschlehrer und für Mathematik nur dank meinem zynischem Mathematiklehrer begeistern. Ironischerweise waren es gerade jene Lehrer, die von den Eltern meisten diskutiert wurden und von den Schülern am meisten gehasst waren.. scip AG Informationen.1 Neues Domizil bezogen Die scip AG hat nun ihre neuen Büroräumlichkeiten bezogen. Wir geniessen nun den Sonnenaufgang über einigen Dächern der Stadt Zürich. Zur Erinnerung finden Sie untenstehend nocheinmal unsere aktuellen Koordinaten: scip AG Badenerstrasse Zürich Gerne setzen wir Ihre aktuellen und zukünftigen Projekte mit unserem bekannten Elan, Enthusiasmus und Professionalität auch im neuen Domiziel um.. Interview mit Herrn Marc Ruef im PC Magazin Das PC Magazin (www.pc-magazin.de) hat in ihrer Ausgabe 11/7 Herrn Marc Ruef zu seiner Meinung zum Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität welches in Deutschland seit dem 11. August 7 in Kraft getreten ist befragt. Mein Französischlehrer war hingegen langweilig, der spätere Geschichtslehrer ebenso und der Lehrer für die kaufmännischen Bereiche konnte ich gar nicht leiden (er hat mich auch immer nach Hause geschickt; zu Recht). Die Schule ist, auch wenn man es nicht immer wahrhaben möchte, dennoch massgeblich für die Entwicklung der eigenen Persönlichkeit mitverantwortlich. Sie muss helfen zu motivieren, etwas lernen zu wollen. Letzteres ergibt sich dann für viele von selbst. Marc Ruef <maru-at-scip.ch> Security Consultant Zürich, 1. September 7 /19

3 scip monthly Security Summary Neue Sicherheitslücken Die Dienstleistungspakete)scip( pallas liefern Ihnen jene Informationen, die genau für Ihre Systeme relevant sind Sep 7 Okt 7 sehr kritisch 1 kritisch 15 8 problematisch Contents: 3398 Cisco CallManager Authentication Header Hijacking Sicherheitsproblem 3397 Cisco PIX and ASA MGCP Packet Processing Denial of Service 3396 Cisco PIX and ASA TLS Packet Processing Denial of Service 3393 Opera inkorrekter Start externer Applikationen 3391 IBM WebSphere Application Server unspezifizierte Schwachstelle 3387 Apple ipod touch / iphone TIFF Image Processing Schwachstelle 3386 Joomla! "searchword" Cross-Site Scripting 3383 CA BrightStor ARCServe Backup Pufferüberlauf bei RPC-Handling 338 Asterisk IMAP Storage Voic Pufferüberlauf 338 phpmyadmin "setup.php" Cross-Site Scripting 3373 Microsoft Word unspezifizierte Memory Corruption 3368 Microsoft Windows NNTP Response Handling Pufferüberlauf 3367 Microsoft Windows Kodak Image Viewer Codeausführung 3366 Internet Explorer File Download Handling Memory Corruption 3365 libpng ICC Profile Chunk Denial of Service 3364 Nagios Plugins Long Location Header Pufferüberlauf 3357 Google Mini Search Appliance "ie" Cross-Site Scripting 3347 Internet Explorer "OnKeyDown" Event Focus Schwachstelle 3339 Apple iphone Fehler bei der Validierung von SDP Paketen 3334 Barracuda Spam Firewall "Monitor Web Syslog" Script Insertion 333 ImageMagick ReadDCMImage() unendlicher Loop (DoS) 337 Xitami "If-Modified-Since" Pufferüberlauf 333 VMWare DHCP Server Pufferüberlauf 3.1 Cisco CallManager Authentication Header Hijacking Sicherheitsproblem Die erweiterte Auflistung hier besprochener Schwachstellen sowie weitere Sicherheitslücken sind unentgeltlich in unserer Datenbank unter einsehbar. Remote: Teilweise Datum: scip DB: Der Cisco CallManager (kurz: CCM) ist eine Software zur Steuerung und Vermittlung von Telefonsystemen die auf dem IP-Protokoll basieren. Ein derartiges System wird auch als IP- Telefonie-Lösung oder Voice-over-IP (VoIP)- System bezeichnet. Der CallManager-Server übernimmt wesentliche Funktionen einer klassischen Telefonanlage. Bei anderen Herstellern findet man häufig den Begriff Soft- PBX. Olivier Festor, Humberto J. Abdelnur und Radu State stellten vor kurzem eine Schwachstelle in aktuellen Versionen der Software vor, bei der aufgrund der unsauberen Verarbeitungen von SIP Paketen Verbindungen mit vorgängig mitgeschnitten Authentitifizierungs- Headern zu initiieren. Dadurch können Verbindungen von Accounts Dritter aufgebaut und missbraucht werden. Voice over IP ist nach wie vor ein Trendthema. Mittlerweile haben auch die meisten Hersteller und Integratoren gemerkt, dass die Sicherheit einer derartigen Technologie durchaus eine Herausforderung darstellt. Im vorliegenden Fall empfiehlt es sich, baldmöglichst die erscheinenden Updates zu berücksichtigen und CallManager nicht in ungeschützten Umgebungen zu implementieren. 3. Cisco PIX and ASA MGCP Packet Processing Denial of Service Datum: /19

4 scip monthly Security Summary scip DB: Die Firma Cisco Systems, Inc. ist der größte Netzwerkausrüster weltweit. Bekannt ist das Unternehmen vor allem für seine Router und Switches, die einen großen Teil des Internet- Backbones versorgen. Cisco meldete unlängst in einem Advisory eine Schwachstelle bei der Verarbeitung von MGCP Paketen in PIX und ASA Appliances. Dabei führt ein Verarbeitungsfehler zu einem Denial of Service und kann unter Umständen den Betrieb des Netzwerkes stören. Ciscos PIX und ASA Geräte sind relativ flächendeckend im Einsatz und aufgrund ihrer Funktion relativ exponiert gegenüber Angriffe. Entsprechend ist auch ein Denial of Service Angriff unter Umständen durchaus problematisch, weshalb baldmöglichst entsprechende Fixes eingespielt werden sollten. 3.3 Cisco PIX and ASA TLS Packet Processing Denial of Service Datum: scip DB: Die Firma Cisco Systems, Inc. ist der größte Netzwerkausrüster weltweit. Bekannt ist das Unternehmen vor allem für seine Router und Switches, die einen großen Teil des Internet- Backbones versorgen. Cisco meldete unlängst in einem Advisory eine Schwachstelle bei der Verarbeitung von TLS Paketen in PIX und ASA Appliances. Dabei führt ein Verarbeitungsfehler zu einem Denial of Service und kann unter Umständen den Betrieb des Netzwerkes stören. Ciscos PIX und ASA Geräte sind relativ flächendeckend im Einsatz und aufgrund ihrer Funktion relativ exponiert gegenüber Angriffe. Entsprechend ist auch ein Denial of Service Angriff unter Umständen durchaus problematisch, weshalb baldmöglichst entsprechende Fixes eingespielt werden sollten. 3.4 Opera inkorrekter Start externer Applikationen Einstufung: kritisch Datum: scip DB: Opera, ist eine für viele Plattformen kostenlos erhältliche Software, welche Webbrowser, E- Mail-Client und weitere Werkzeuge in sich vereint. Hersteller ist das norwegische Unternehmen Opera Software ASA. Der Opera- Browser ist seit der Version 8.5 vom. September 5 kostenlos verfügbar und damit sogenannte Freeware. Kostenpflichtige Registrierungen sind damit nicht mehr erforderlich. In früheren Versionen gab es jeweils eine kostenlose, werbefinanzierte Version, die ein Werbebanner anzeigte (Adware) und eine nach Eingabe eines kostenpflichtigen Schlüssels registrierte Version ohne Werbung. Michael A. Puls II fand eine Schwachstelle beim Start externer Applikationen aus Opera heraus, bei der durch einen Fehler beliebige Befehle zur Ausführung gebracht werden können. Gleich drei kritische Schwachstellen adressiert der norwegische Hersteller von Opera dieser Tage mit neuen Patches. Aufgrund der kritischen Natur der Schwachstelle empfiehlt sich ein baldiges Einspielen der entsprechenden Updates. 3.5 IBM WebSphere Application Server unspezifizierte Schwachstelle Datum: scip DB: WebSphere ist eine Produktlinie der Firma IBM, die unterschiedliche Software für Anwendungsintegration, Infrastruktur (z. B. Transaktionen und Warteschlangen) und eine integrierte Entwicklungsumgebung umfasst. Sehr oft wird der WebSphere Application Server (WAS) auch einfach mit WebSphere bezeichnet. Bei diesem Application Server handelt es sich um eine Laufzeitumgebung für JEE-Anwendungen (Java Enterprise Edition). Üblicherweise werden diese als EAR (Enterprise Application Archive) bzw. WAR (Web Application Archive) gepackt. EAR bzw. WAR Dateien sind mit dem Werkzeug jar (Java Archive) verpackte Komponenten. IBM gab unlängst einen unspezifizierten Fehler in den administrativen Skriptingtools bekannt. Ausser einem Patch wurden keine weiteren Informationen bekanntgegeben. Vielen Administratoren wird mulmig zumute, wenn ein Patch erscheint von dem eigentlich 4/19

5 scip monthly Security Summary niemand wirklich so genau weiss, was er eigentlich macht. Im vorliegenden Fall dürften diese erneut skeptisch werden, zumal zur Schwachstelle die durch den freigegebenen Patch adressiert wird eigentlich nichts bekannt ist. Es empfiehlt sich nichtsdestotrotz, den freigegeben Patch nach Möglichkeit einzuspielen um die besagte Lücke - sei sie noch so unbekannt - zu schliessen. 3.6 Apple ipod touch / iphone TIFF Image Processing Schwachstelle Einstufung: kritisch Datum: scip DB: Das iphone ist ein von Apple entwickeltes Smartphone, das nur über drei herkömmliche Tasten und einen Regler verfügt und ansonsten ausschließlich über ein Display mit Multi-Touch- Funktion bedient wird. Der Verkaufsstart in den USA war am 9. Juni 7. Das Handy wird dort ausschließlich in Kooperation mit dem amerikanischen Mobilfunkkonzern AT&T Wireless angeboten. Das Gerät vereint Funktionen eines ipod-video-medienspielers mit denen eines Mobiltelefons mit Digitalkamera und Internetzugang. In Europa wird das Gerät ab dem 9. November 7 zuerst in Deutschland und Großbritannien, später auch in Frankreich angeboten. Gemäss einem Researcher mit dem Nickname "Niacin" enthält die derzeitige Softwareversion eine bereits bekannte Schwachstelle im Umgang mit TIFF Dateien. Durch eine speziell vorbereitete TIFF Datei kann ein Pufferüberlauf provoziert werden, der die Ausführung beliebigen Codes erlaubt. Joomla! (sprich englisch: dschuumla, seltener auch juumla) ist ein populäres freies Content- Management-System (CMS), das aus dem Open-Source-Projekt Mambo hervorgegangen ist. Nach erheblichen Differenzen mit der australischen Firma Miro, die die Namensrechte an Mambo besaß, verabschiedeten sich die Mambo-Entwickler von diesem Projekt. Um das System dennoch weiterentwickeln zu können, wurde der Code von Mambo in Joomla! übernommen und dann zu 1..x (Stable) weiterentwickelt. Joomla! gehört zusammen mit WordPress, TYPO3 und Drupal zu den bekanntesten Open-Source-CMS. Ein Researcher mit dem Pseudonym "MustLive!" beschreibt in einem Advisory eine XSS Schwäche bei der der Parmeter searchword in index.php nicht zureichend validiert wird, bevor er an den Benutzer zurückgegegen wird. Dadurch entstehen verschiedene Möglichkeiten, eine XSS Attacke gegen einen Benutzer durchzuführen. XSS Angriffe werden immer ausgefeilter, dieser Trend zeichnete sich im letzten Jahr klar ab. Entsprechend sollten hier entsprechende Massnahmen getroffen werden. In Ermangelung eines Patches seitens des Herstellers empfiehlt es sich, selbst Hand anzulegen und die entsprechenden Funktionen zu korrigieren. 3.8 CA BrightStor ARCServe Backup Pufferüberlauf bei RPC-Handling Datum: scip DB: Das iphone wurde gehypet wie kaum ein anderes Gerät des letzten Jahres. Da erstaunt es nicht, dass entsprechende Exploits zur Ausführung eigenen Codes auf dem eigentlich geschlossenen Gerät aus dem Boden spriessen. Allmählich müsste man sich fragen, ob Apple nicht gut daran täte, ein offizielles SDK zu veröffentlichen um dem leidigen Wettrennen ein Ende zu bereiten. 3.7 Joomla! "searchword" Cross-Site Scripting Datum: scip DB: Computer Associates International, Inc. wurde 1976 in New York von Charles B. Wang mit drei Mitarbeitern gegründet und wurde 4 in CA, Inc. umbenannt. Die Firma gehört zu den größten Softwarekonzernen der Welt und vertreibt Management-Software für Netzwerke, Storage, Security sowie Projekt- und Portfoliomanagement. Sitz von CA ist Islandia im US-Bundesstaat New York, USA. Ein Produkt des entsprechenden Herstellers ist die Backupsoftware Brightstor. Dyon Balding berichtet in einem Advisory über eine Schwachstelle, bei der durch eine Schwäche im Handling von RPC Requests ein Pufferüberlauf hervorgerufen werden kann, der einem Angreifer die Ausführung beliebigen Codes ermöglicht. Gleich drei Schwachstellen musste CA in zeitnah 5/19

6 scip monthly Security Summary in seiner Backuplösung verzeichnen. Zwar sind diese lediglich als problematisch einzustufen, dennoch empfiehlt es sich die entsprechenden Updates des Herstellers baldmöglichst einzuspielen. 3.9 Asterisk IMAP Storage Voic Pufferüberlauf Datum: scip DB: Asterisk ist eine freie Software, die alle Funktionalitäten einer herkömmlichen Telefonanlage abdeckt. Asterisk unterstützt Voice-over-IP (VoIP) mit unterschiedlichen Protokollen und kann mittels relativ günstiger Hardware mit Anschlüssen wie POTS (analoger Telefonanschluss), ISDN-Basisanschluss (BRI) oder -Primärmultiplexanschluss (PRI, E1 oder T1) verbunden werden. Mark Spencer hat Asterisk ursprünglich geschrieben, wichtige Erweiterungen und Applikationen stammen aber auch von anderen Entwicklern. Russell Bryant und Mark Michelson fanden heraus, dass durch das Senden einer speziell manipulierten als Voic Nachricht mit überlangen Headerdaten ein Pufferüberlauf provoziert werden kann, mittels dem beliebiger Code zur Ausführung gebracht werden kann. Asterisk ist heute ein gerngesehener Ersatz für altgediente Telefonanlagen, die noch mit sündhaft teuren Hardwareanschaffungen zusammenhingen. Ebenso gern gesehen dürfte die vorliegende Schwachstelle für potentielle Angreifer sein, weshalb es sich empfiehlt die freigegebenen Updates baldmöglichst zur Schliessung der Lücke einzuspielen. 3.1 phpmyadmin "setup.php" Cross- Site Scripting phpmyadmin ist eine freie PHP-Applikation zur Administration von MySQL-Datenbanken. Die Administration erfolgt über HTTP mit einem Browser. Daher können auch Datenbanken auf fremden Rechnern über eine Netzwerkverbindung oder über das Internet administriert werden. Für die Nutzung des Programms sind keine Kenntnisse in SQL notwendig, da die Applikation nach dem WYSIWYG-Verfahren arbeitet. Omer Singer berichtet von einer Schwachstelle in der Datei setup.php, bei der Eingaben die via HTTP GET übertragen werden nicht zureichend validiert werden, bevor sie dem Browser des Benutzers zurückgegeben werden. Dadurch können webbasierte Angriffsvektoren wie XSS oder CSRF angestrebt werden. phpmyadmin gehört zum Standardrepertoire vieler Webmaster und ist somit sicherlich ein beliebtes Ziel für Angriffe. Allerdings ist es wichtig zu erwähnen, dass lediglich Browser verwundbar sind, bei denen beim Absenden des Requests keine URL-Enkodierung stattfindet, wie z.b. IE6. Entsprechend ist diese Schwachstelle lediglich als problematisch zu werten. Es empfiehlt sich, das freigegebene Update des Herstellers baldmöglichst einzuspielen Microsoft Word unspezifizierte Memory Corruption Datum: scip DB: Einstufung: sehr kritisch Datum: scip DB: Microsoft Word (oft auch kurz MS Word oder Word genannt) ist ein Textverarbeitungsprogramm der Firma Microsoft für die Windows-Betriebssysteme und Mac OS. Es ist Teil der Officesuite Microsoft Office sowie der auf private Nutzer zugeschnittenen Programmsammlung Microsoft Works Suite, wird aber auch einzeln verkauft. Lui Kun-Hao vom Information and Communication Security Technology Center fand eine Schwachstelle in aktuell verwendeten Versionen von Microsoft Word, bei der durch das Öffnen eines Office- Dokumentes beliebiger Code zur Ausführung gebracht werden kann. Weitere Informationen sind nicht bekannt. Einmal mehr erhält eine Schwachstelle in Microsoft Word an dieser Stelle die Bewertung "sehr kritisch". Zurecht, denn die vorliegende Schwachstelle wird nach Informationen des Herstellers derzeit aktiv ausgenutzt. Allerdings erscheint es in diesem Kontext erneut fragwürdig, warum in logischer Konsequenz nicht die Details der Schwachstelle bekanntgegeben werden, um entsprechende Gegenmassnahmen überhaupt zu ermöglichen. Unabhängig davon hat Microsoft mittlerweile einen Patch veröffentlicht, der die 6/19

7 scip monthly Security Summary Lücke angeblich schliessen soll. In Ermangelung besseren Wissens empfiehlt es sich also, diesen baldmöglichst einzuspielen - in der Hoffnung, dass die entsprechenden Schwächen tatsächlich umfassend ausgemerzt wurden. 3.1 Microsoft Windows NNTP Response Handling Pufferüberlauf (Network News Transfer Protocol) ist das im Usenet verwendete Übertragungsprotokoll. Seine Spezifikationen wurden im RFC 977 (Februar 1986) festgelegt. Einige Erweiterungen des Standard-Protokolls wurden in RFC 98 (Oktober ) festgehalten. Im Oktober 6 wurde RFC 3977 veröffentlicht der die beiden Vorgänger ersetzt bzw. erweitert. Das Nachrichtenformat ist im RFC 136 (Dezember 1987) definiert. Die IANA hat dem Protokoll den TCP-Port 119 zugewiesen. Microsoft implemtiert dieses Protokoll in seinen Betriebssystemen mittels der DLL inetcomm.dll. Gemäss Greg MacManus von idefense besteht hier eine kritische Schwachstelle, da durch manipulierte NNTP Responses ein heap-basierter Pufferüberlauf provoziert werden kann, der die Ausführung beliebigen Codes ermöglicht. NNTP ist auf Windows-Systemen standardmässig installiert und somit verwundbar für die vorliegende Schwachstelle. Die Schwachstelle eignet sich damit hervorragend für flächendeckende Angriffe zur Erweiterung von Botnet-Infrastrukturen und wird auch bereits aktiv ausgenutzt. Es empfiehlt sich daher, Systeme baldmöglichst mit den entsprechenden Patches zu versorgen um diese Lücke zu schliessen. unspezifizierten Fehler bei der Verarbeitung manipulierter Dateien beliebiger Code zur Ausführung gebracht werden kann. Auch hier gilt: Was nicht genau spezifiziert werden kann, das kann schlecht objektiv eingestuft werden. Es ist hier aber davon auszugehen, dass Microsoft die Interna der Schwachstelle kennt - die entsprechend hohe Bewertung des Softwaregiganten lässt darauf schliessen, dass es sich hierbei um eine gefährliche Lücke handelt, warum hier auch die Stufe "kritisch" angebracht erscheint. Es empfiehlt sich daher, die freigegebenen Patches baldmöglichst einzuspielen Internet Explorer File Download Handling Memory Corruption Einstufung: kritisch Datum: scip DB: Einstufung: kritisch Datum: scip DB: Internet Explorer oder Windows Internet Explorer (Abkürzungen: IE oder MSIE) bezeichnet einen Webbrowser von Microsoft für das Betriebssystem Microsoft Windows. Seit Windows 95b, SR ist der Internet Explorer fester Bestandteil von Windows-Betriebssystemen. Bei älteren Windows-Versionen kann er nachinstalliert werden. Für einige Zeit gab es auch Versionen für Mac OS und Unix-Derivate (wie Solaris und HP-UX). Die derzeit aktuelle Version ist Windows Internet Explorer 7. Carsten Eiram von Secunia Research fand eine kritische Lücke in aktuelle verfügbaren Versionen des Browsers, bei der durch einen Fehler im File Download Queueing eine Memory Corruption erreicht werden kann, was die mögliche Ausführung beliebigen Codes zur Folge haben kann Microsoft Windows Kodak Image Viewer Codeausführung Einstufung: kritisch Datum: scip DB: Der Microsoft Kodak Image Viewer ist ein in Microsoft Windows implementierter Betrachter für Kodak-Bilddateien. Gemäss eines Advisories des Researchers Cu Fang besteht in dieser Applikation in vorliegenden Versionen eine Schwachstelle, bei der durch einen Microsofts Lieblingskind kommt nicht zur Ruhe: Kaum ein Monat vergeht ohne weitere Lücken im ohnehin schon lange malträtierten Browser. Die vorliegende Lücke ist erneut als kritische zu betrachten, zumal alleine das Besuchen einer entsprechend präparierten Webseite schon zur Ausführung beliebigen Codes ausreichen kann. Es empfiehlt sich daher, den von Microsoft freigegeben Patch baldmöglichst einzuspielen um diese Lücke zu schliessen bevor sie breitflächig ausgenutzt wird. 7/19

8 scip monthly Security Summary libpng ICC Profile Chunk Denial of Service Portable Network Graphics (PNG, engl. portierbare Netzwerkgrafiken) ist ein Grafikformat für Rastergrafiken. Es wurde als freier Ersatz für das ältere, bis zum Jahr 4 mit Patentforderungen belastete Format GIF entworfen und ist weniger komplex als TIFF. Die Daten werden verlustfrei komprimiert abgespeichert (im Gegensatz zum verlustbehafteten JPEG-Dateiformat). Durch einen Off-by-One Fehler in libpng's ICC profile chunk Handling kann dabei ein Denial of Service herbeigeführt werden. Libpng kämpfte schon in jüngster Vergangenheit mit Problemen im Bereich der ICC Profilverarbeitung. So ist dies auch nicht die erste Off-by-One Vulnerability, die an dieser Stelle zu vermelden ist. Die Gegenmassnahme bleibt die selbe: Die betroffenen Softwarekomponenten sollten baldmöglichst durch die bereitgestellten Patches auf den neusten Stand gebracht werden Nagios Plugins Long Location Header Pufferüberlauf Durch die Software Nagios (Network + Hagios), die früher NetSaint hieß, ist es möglich, komplexe IT-Strukturen zu überwachen. Nagios bietet dazu eine Sammlung von Modulen zur Netzwerk-, Host- und speziell Serviceüberwachung sowie einem Webinterface zum Abfragen der gesammelten Daten. Nagios steht unter der GPL, ist also Freie Software, und läuft unter zahlreichen Unix-ähnlichen Betriebssystemen. Nagios und das Nagios-Logo sind eingetragene Warenzeichen von Ethan Galstad. Nobuhiro Ban fand eine Schwachstelle im Plugins System (Version 1.x), bei der ein Fehler in der Funktion redir() der Datei check_http.c einen Pufferüberlauf beim Verarbeiten des HTTP Location: Headers verursacht. Dadurch kann ein Angreifer beliebigen Code zur Ausführung bringen und das System kompromittieren. Nagios - ehemals NetSaint - ist ein populäres Monitoringtool, das mittlerweile auch Thema einiger nicht unerfolgreicher Bücher wurde. Im Allgemeinen sind Monitoringsysteme als sensibler Teil des eigenen Netzwerkes anzusehen, weshalb diese Schwachstelle - trotz ihrer moderaten Risikostufe - ernstgenommen werden sollte. Betroffenene Administratoren sollten baldmöglichst entsprechende Patches berücksichtigen, um die Möglichkeit eines Angriffes zu minimieren Google Mini Search Appliance "ie" Cross-Site Scripting Datum: scip DB: Datum: scip DB: Datum:.1.7 scip DB: Mit der Google Appliance verkauft Google seine Suchtechnologie an Firmen, die sie im eigenen Intranet einsetzen möchten. Bei der Appliance handelt es sich um einen Server mit vorinstallierter Software, der im firmeneigenen Netz dieselbe Aufgabe übernimmt, die Google für das World Wide Web leistet. Dokumente werden im Index vorgehalten und Suchanfragen beantwortet. Websecurity meldete dabei unlängst eine Schwachstelle, bei der Eingaben die mittels des "ie"-parameters übergeben werden nicht ausreichend validiert werden, bevor sie dem Benutzer wieder angezeigt werden. Dies ermöglicht es, beliebigen Scriptcode in Ergebnisseiten zu injizieren, was zur Ausführung von XSS-Angriffen verwendet werden kann. Dass Google auch nicht vor Fehlern in diversen seiner Produkte gefeit ist, wurde unlängst bereits durch diverse XSRF-Schwachstellen in Gmail erneut bewiesen. Diesmal jedoch trifft es ein Produkt, dass nicht rein zentralisiert vertrieben wird, sondern effektiv in Kundennetzwerken steht und dadurch vielerorts als "trusted" angesehen wird. Dadurch gewinnt diese Schwachstelle etwas an Brisanz, ist aber gesamthaft dennoch als problematisch zu sehen. Es empfiehlt sich, das baldige Update seitens Google baldmöglichst einzuspielen Internet Explorer "OnKeyDown" Event Focus Schwachstelle Datum: /19

9 scip monthly Security Summary Internet Explorer oder Windows Internet Explorer (Abkürzungen: IE oder MSIE) bezeichnet einen Webbrowser von Microsoft für das Betriebssystem Microsoft Windows. Seit Windows 95b, SR ist der Internet Explorer fester Bestandteil von Windows-Betriebssystemen. Bei älteren Windows-Versionen kann er nachinstalliert werden. Für einige Zeit gab es auch Versionen für Mac OS und Unix-Derivate (wie Solaris und HP-UX). Die derzeit aktuelle Version ist Windows Internet Explorer 7. Ronald van den Heetkamp berichtet, dass sich eine unlängst für Firefox erschienene Schwachstelle ebenfalls auf dem IE ausnutzbar erscheint. Es handelt sich dabei um eine Schwachstelle, bei der mittels des Event Handlers OnKeyDown beliebige Daten von der Festplatte des Benutzers auf einen Webserver hochgeladen werden können, sofern der Benutzer dazu gebracht werden kann, den entsprechenden Dateipfad in ein dafür vorgesehenes Eingabefeld einzugeben. Es ist kein neues Phänomen, dass Schwachstellen plötzlich auch für andere Browser adaptiert werden können. Es ist damit zu rechnen, dass Windows diese Schwachstelle im Rahmen des nächsten Security Bulletins adressiert. Bis dahin kann als Workaround die Deaktivierung des Active Scriptings empfohlen werden Apple iphone Fehler bei der Validierung von SDP Paketen scip DB: Datum: scip DB: Das iphone ist ein von Apple entwickeltes Smartphone, das nur über drei herkömmliche Tasten und einen Regler verfügt und ansonsten ausschließlich über ein Display mit Multi-Touch- Funktion bedient wird. Der Verkaufsstart in den USA war am 9. Juni 7. Das Handy wird dort ausschließlich in Kooperation mit dem amerikanischen Mobilfunkkonzern AT&T Wireless angeboten. Das Gerät vereint die Funktionen eines ipod-video-medienspielers mit dem eines Mobiltelefons mit Digitalkamera und Internetzugang. In Europa wird das Gerät ab dem 9. November 7 zuerst in Deutschland und Großbritannien, später auch in Frankreich angeboten. Kevin Mahaffey und John Hering fanden eine Schwachstelle bei der Verarbeitung von SDP Paketen, durch die beliebiger Code zur Ausführung gebracht werden kann. Gleich über ein halbes Dutzend Schwachstellen adressierte Apple mit seinem ersten grossen Firmware Update für sein neues Lieblingskind, das iphone. Bei der riesigen Medienpräsenz, die Apples angebliches Wunderkind bereits im Vorfeld erhielt, ist es kein Wunder dass sich eine Vielzahl von Researchern gierig auf das Gerät stürzte. Entsprechend überrascht es nicht, dass auch bereits nach kurzem diese Schwachstellen bekannt wurden. Eigentümern des Gerätes sei es geraten, das entsprechenden Firmware Upgrade einzuspielen - allerdings verbunden mit der Warnung, dass Apple ebenfalls mit diesem Update auch allfällige Sim-Hacks oder proprietäre Software von Drittherstellern wertlos macht. 3. Barracuda Spam Firewall "Monitor Web Syslog" Script Insertion Datum: scip DB: Die Barracuda Spam Firewall ist eine All-in-One Lösung zur Bekämpfung von Spam Mails. Die Hersteller, Barracuda Networks, setzen dazu auf eine Kombination von verschiedenen OpenSource Komponenten (SpamAssassin, ClamAV, etc.) in Kombination mit einer eigens entwickelten Management Oberfläche. Federico Kirschbaum fand eine Schwachstelle im Monitor Web Syslog, wo sich durch die Eingabe von entsprechend präparierten Daten in das "Benutzername"-Feld beliebige Scripts injizieren lassen. Dadurch wird es einem Angreifer ermögicht, beliebige webbasierte Angriffe (XSS, CSRF) durchzuführen. Cross-Site-Scripting ist ein ernstzunehmendes Problem, gerade im Anbetracht der immer professioneller werdenden Exploits auf Javascript und Flash Basis. Es empfiehlt sich, das freigegebene Update der Barracuda Spam Firewall baldmöglichst einzuspielen, um diese Schwachstelle zu schliessen. 3.1 ImageMagick ReadDCMImage() unendlicher Loop (DoS) Einstufung: kritisch Datum: /19

10 scip monthly Security Summary ImageMagick ist der Name eines freien Softwarepakets zur Erstellung und Bearbeitung von Rastergrafiken. ImageMagick kann momentan mehr als 9 der meistverwendeten Bildformate lesen, verändern und schreiben. Außerdem lassen sich Bilder dynamisch generieren, weshalb es auch im Bereich der Webanwendungen verwendet wird. Bis Version bestand in ImageMagick eine Schwachstelle, bei der die Funktionen ReadDCMImage()" und "ReadXCFImage()" mittels speziell präparierter DCM und XCF dazu verleitet werden können, eine Endlosschlaufe auszuführen, was dazu führt dass ein Denial of Service entsteht. ImageMagick schliesst mit seiner neuen Version eine ganze Reihe von Schwachstellen, die im Allgemeinen als kritisch einzustufen sind. Das bedingt vor allem die Tatsache, dass ImageMagick oftmals auch in Kombination mit verschiedenen Schnittstellen auf Serversystemen zum Einsatz kommt. Es empfiehlt sich daher, die neue Version baldmöglichst auf produktiven Systemen zum Einsatz zu bringen. 3. Xitami "If-Modified-Since" Pufferüberlauf scip DB: Einstufung: kritisch Datum: scip DB: Xitami ist ein kleiner (ca. 1,5 MB) Open-Source- Webserver, der für viele Plattformen frei verfügbar ist, darunter Windows, verschiedene Linux- und Unix-Distributionen sowie BSD. Xitami unterstützt alle wichtigen Webstandards und wird aktiv weiterentwickelt. Zu den Neuerungen (6) zählen eine XML-Integration durch GSL-Scripts, eine kostenpflichtige SSL-Erweiterung und offene Plugin-Schnittstellen. Für die einfache Konfiguration besitzt Xitami auch eine Webschnittstelle. Krystian Kloskowski fand eine Schwachstelle in der aktuellen Version, bei der durch den HTTP Header If-Modified-Since ein Pufferüberlauf provoziert werden kann, der die Ausführung beliebigen Codes erlaubt. um eher bedeutungslose Derivate. Leider muss man im Anbetracht des fehlenden Patches hier dennoch die Empfehlung geben auf einer besser gewartetes Produkt umzusteigen. 3.3 VMWare DHCP Server Pufferüberlauf Remote: Teilweise Datum:.9.7 scip DB: VMware, genauer VMware, Inc., ist ein USamerikanisches Unternehmen, welches Software im Bereich der Virtualisierung herstellt. Die Firma wurde 1998 mit dem Ziel gegründet, eine Technik zu entwickeln, virtuelle Maschinen auf Standard Computern zur Anwendung zu bringen. Das bekannteste Produkt ist VMware Workstation. Das meiste Geld verdient VMware mit VMware Infrastructure. Neel Metha und Ryan Smith der ISS X-Force fanden einen Pufferüberlauf im DHCP Server, bei dem durch ein speziell manipuliertes DHCP Paket ein stack-basierter Pufferüberlauf entsteht, wodurch beliebiger Code zur Ausführung gebracht werden kann. In Zusammenarbeit mit VMWare wurden dieser Tage einige Schwachstellen in verschiedenen Produkten des Virtualisierungs-Primus veröffentlicht, die vielen Administratoren und Anwendern Kopfzerbrechen bereiten dürften. Zwar sind die meisten der besagten Schwachstellen lediglich als problematisch zu werten, dennoch besteht aber durch die hohe Verbreitung im Serverbereich eine durch existente Gefahr, die es empfehlenswert erscheinen lässt, den erschienenen kumulativen Patch baldmöglichst einzuspielen. Webserver stehen immer wieder als Ziel von Angriffen dieser Art unter Beschuss - egal ob es sich dabei um die grossen Namen wie Apache oder Lighty handelt, oder wie im vorliegenden Fall 1/19

11 scip monthly Security Summary Statistiken Verletzbarkeiten Die im Anschluss aufgeführten Statistiken basieren auf den Daten der deutschsprachige Verletzbarkeitsdatenbank der scip AG. Zögern Sie nicht uns zu kontaktieren. Falls Sie spezifische Statistiken aus unserer Verletzbarkeitsdatenbank wünschen so senden Sie uns eine an Gerne nehmen wir Ihre Vorschläge entgegen. Auswertungsdatum: 19. Oktober sehr kritisch kritisch problematisch Verlauf der Anzahl Schwachstellen pro Jahr Aug 7 - Sep 7 - Okt 7 - Aug 7 - Sep 7 - Okt sehr kritisch 1 kritisch problematisch Verlauf der letzten drei Monate Schwachstelle/Schweregrad Cross Site Scripting (XSS) Denial of Service (DoS) Designfehler Directory Traversal Eingabeungültigkeit 6 1 Fehlende Authentifizierung Fehlende Verschlüsselung Fehlerhafte Leserechte Fehlerhafte Schreibrechte 1 Format String Konfigurationsfehler 1 1 Pufferüberlauf Race-Condition 1 Schw ache Authentifizierung 1 Schw ache Verschlüsselung 1 SQL-Injection Symlink-Schw achstelle Umgehungs-Angriff 4 1 Unbekannt Verlauf der letzten drei Monate Schwachstelle/Kategorie 11/19

12 scip monthly Security Summary Jan 7 - Feb 7 - Mrz 7 - Apr 7 - Mai 7 - Jun 7 - Jul 7 - Aug 7 - Sep 7 - Okt 7 - Nov 7 - Dez Registrierte Schwachstellen by scip AG Verlauf der Anzahl Schwachstellen pro Monat - Zeitperiode Jan 7 - Feb 7 - Mrz 7 - Apr 7 - Mai 7 - Jun 7 - Jul 7 - Aug 7 - Sep 7 - Okt 7 - Nov 7 - Dez sehr kritisch kritisch problematisch Verlauf der Anzahl Schwachstellen/Schweregrad pro Monat - Zeitperiode 7 1/19

13 scip monthly Security Summary Cross Site Scripting (XSS) Denial of Service (DoS) Designfehler Directory Traversal 1 1 Eingabeungültigkeit Fehlende Authentifizierung 1 3 Fehlende Verschlüsselung 4 Fehlerhafte Leserechte 3 1 Fehlerhafte Schreibrechte Format String Konfigurationsfehler Pufferüberlauf Race-Condition Schw ache Authentifizierung Schw ache Verschlüsselung 1 SQL-Injection Symlink-Schw achstelle Jan 7 - Feb 7 - Mrz 7 - Apr 7 - Mai 7 - Jun 7 - Jul Umgehungs-Angriff Unbekannt Aug 7 - Sep 7 - Okt 7 - Nov 7 - Dez Verlauf der Anzahl Schwachstellen/Kategorie pro Monat - Zeitperiode 7 13/19

14 scip monthly Security Summary Jan 3 - Mrz 3 - Mai 3 - Jul 3 - Sep 3 - Nov 4 - Jan 4 - Mrz 4 - Mai 4 - Jul 4 - Sep 4 - Nov 5 - Jan 5 - Mrz 5 - Mai 5 - Jul 5 - Sep 5 - Nov 6 - Jan 6 - Mrz 6 - Mai 6 - Jul 6 - Sep 6 - Nov 7 - Jan 7 - Mrz 7 - Mai 7 - Jul 7 - Sep Registrierte Schwachstellen by scip AG Verlauf der Anzahl Schwachstellen pro Monat Ja Fe Mr Ap Ma Ju Jul Au Se Ok No De Ja Fe Mr Ap Ma Ju Jul Au Se Ok No De Ja Fe Mr Ap Ma Ju Jul Au Se Ok No De Ja Fe Mr Ap Ma Ju Jul Au Se Ok No De Ja Fe Mr Ap Ma Ju Jul Au Se Ok sehr kritisch kritisch problematisch Verlauf der Anzahl Schwachstellen/Schweregrad pro Monat 14/19

15 scip monthly Security Summary Cross Site Scripting (XSS) Denial of Service (DoS) Designfehler Directory Traversal Eingabeungültigkeit Fehlende Authentifizierung Fehlende Verschlüsselung Fehlerhafte Leserechte Fehlerhafte Schreibrechte Format String Konfigurationsfehler Pufferüberlauf Race-Condition Schw ache Authentifizierung Schw ache Verschlüsselung SQL-Injection Symlink-Schw achstelle Umgehungs-Angriff Unbekannt Verlauf der Anzahl Schwachstellen/Kategorie pro Monat 15/19

16 scip monthly Security Summary Fachartikel 5.1 Im Körper des Feindes Stefan Friedli, Bei Aufträgen mit Schwerpunkt auf Penetration Testing werden wir, salopp gesagt, dafür bezahlt wie ein Angreifer zu denken. Es geht darum herauszufinden, was für eine Person mit böswilligen Absichten als Ziel interessant erscheint, wie er dieses Ziel in der Folge erreichen kann und was der Auftraggeber tun kann, um dieses Szenario nicht zur Realität werden zu lassen. Je nach Einsatzzweck einer Applikation fordert es mehr oder weniger Kreativität einen Angriffsvektor zu erarbeiten. Im Falle eines vor einigen Monaten durchgeführten Tests eines grossen Online-Versandhauses entschloss ich mich den Verkaufszahlen von Marcs Buch mittels einer Cross Site Request Forgery Attacke etwas auf die Sprünge zu helfen: Besuchte ein beliebiger Benutzer eine vorgängig präparierte Seite, so löste der darin enthaltene JavaScript Payload automatisiert die Bestellung von Exemplaren des besagten Werkes aus und gab als Rechnungs- und Versandadresse jeweils eine zufällige Adresse aus einem vorgängig sorgfältig zusammengestellten Adresspool des Schweizer Telefonbuches an. Im Testszenario wurde diese Bestellung natürlich lediglich einmal ausgeführt und umgehend storniert - schliesslich war ja zu diesem Zeitpunkt klar, dass hier Handlungsbedarf besteht. Nehmen wir aber an, diese Attacke hätte in der Realität stattgefunden: Der Payload hätte zum Beispiel auf einer hochfrequentierten MySpace- Seite oder einem entsprechenden Forum seinen Platz finden können, am besten mittels einer XSS-Schwachstelle, die es erlaubte ohne Interaktion des Benutzers direkt zur Tat zu schreiten - verwundbare Seiten gibt es dazu mehr als genug. Nehmen wir an, dass dort der Code ca. 1x pro Minute ausgeführt worden wäre - von verschiedenen Benutzern. Bereits nach 1 Minuten, wären in gut 1 Einzelbestellungen ' Bücher bestellt worden, mit einem Gesamtwert von läppischen 1'4' Schweizer Franken und mit Empfängeradressen versehen, deren Eigentümer nichts von ihrem Glück ahnten. Wenn man nun davon ausgeht, dass die meisten Firmen nicht in der Lage sein dürften, den genutzten Fehler innerhalb von zwei Stunden zu korrigieren, lassen sich diese Zahlen entsprechend skalieren. Alleine die Ressourcen, die ein betroffener Händler aufwenden müsste, alle falschen Bestellungen aus den meist automatisierten Warenwirtschaftssystemen zu löschen, würden einen enormen finanziellen Aufwand bedeuten - von den Kosten für wirklich ausgeführte Fehlsendungen ganz zu schweigen. Sicherlich eine nette Art und Weise, einem allfälligen Konkurrenten das Wochenende zu versüssen. Clients Bestellte Exemplare Zeitachse Payload 1 Minute Minuten Ein solches Szenario auszuarbeiten bedeutet verhältnismässig viel Arbeit, wenn man bedenkt, dass die zugrundeliegende Schwachstelle oftmals sehr simpel ist. Meist handelt es sich um eine Cross-Site-Scripting oder Cross-Site- Request-Forgery Schwachstelle, die es erlaubt einen Angriff aufzubauen. Die Simplizität dieser Angriffsvektoren ist auch der Grund, warum solche komplexen und detailierten Angriffsszenarien erst Sinn machen. Gerade die genannten Probleme werden oftmals kaum als solche ernstgenommen - warum auch, wenn sie in den meisten Fällen damit demonstriert werden, dass ein Angreifer in der Lage ist mittels Javascript eine Alert Box mit der Meldung "XSS" einzublenden, ohne dabei zu erklären, was eben noch alles möglich wäre. Und verglichen mit dem, was technisch im Bereich des Möglichen liegt, ist auch der obenstehende Angriff sehr trival. Andere Dimensionen Seit letztem Sommer arbeite ich an einer Applikation mit dem Projektnamen SWARM. Im Grunde genommen handelt es sich dabei um eine Sammlung einzelner Module, die dem Zweck dienen Angriffe auf Webapplikationen schneller und effizienter zu gestalten, um die Gefahren entsprechender Lücken besser illustrieren zu können. SWARM erlaubt es, mehrere Schwachstellen zu bündeln und für einen oder mehrere von der initialen Ladestelle unabhängigen Angriff zu verwenden. Part 1: Infect Unterhaltsame Videos, schlüpfrige Bilder und witzige Spielereien - im Internet wird heute in der Welt des Web. bestimmt niemandem mehr langweilig. Überall gibt es multimedialen Content, was unterhält verbreitet sich mittels Digg, Yigg, MySpace und Konsorten in Windeseile um die 16/19

17 scip monthly Security Summary ganze Welt. Das bunte Treiben ist in technologischer und soziologischer Hinsicht spannend zu beobachten und auch kritische Zeitgenossen können sich ein Schmunzeln ob des jüngsten Hypes oftmals nur schwerlich verkneifen. SWARM initiiert sich selber, indem ein Script Tag aus einer infizierten Seite geladen wird. Damit diese Tags ihren Weg in die entsprechenden Seiten finden, gibt es zwei Varianten: a) die Seite ist verwundbar für irgendeine Art der Script Injection oder b) die Seite obliegt der Kontrolle des Angreifers. So würde sich zum Beispiel eine rasch zusammengestellte Seite mit einigen Episoden einer populären Sitcom, die online angesehen werden können sicherlich gut als Ausgangspunkt eignen. Lädt ein Benutzer den entsprechenden Code, so meldet er sich beim SWARM-, dem zentralen Verwaltungsserver an und erhält eine eindeutige ID, der aus einem Fingerprint seiner Eigenschaften (Auflösung, User-Agent, Sprachen, IP- Bereich des Hostsystems etc.) generiert wird. Anhand dessen wird der Client auch wieder erkannt, wenn er eine andere Seite mit SWARM Loader ansprechen würde. Das ist notwendig, weil SWARM ansonsten die Kontrolle jedes Mal ohne Restore-Möglichkeit verlieren würde, wenn der Benutzer die Seite wechselt. Ist der Benutzer erst einmal registriert, so holt er in regulären Abständen Befehle von SWARM- ab, die er im Hintergrund ausführt. Als ersten Befehl erhält er vom SWARM den Befehl ein unsichtbares Flash- Objekt in die eben aufgerufene Seite zu laden, das zur Ausführung bestimmter Befehle verwendet wird. Part : Maintain Der Angreifer kontrolliert die aktiven SWARM- Clients mittels der zentralen Konsole SWARM-. Hier kann er verschiedene Aktionen zuweisen, die daraufhin von den selektieren Clients ausgeführt werden. Nehmen wir nun z.b. an, der Angreifer möchte einen Angriff wie den eingangs beschriebenen starten, so könnte er direkt den entsprechend Payload zu Ausführung an die Clients schicken ohne dabei die Kontrolle über allfällige weitere Aktionen zu verlieren. Er kontrolliert quasi ein flüchtiges Botnet auf Webbasis, dessen Knotenpunkte bei entsprechend gut besuchten, infizierten Seiten in relativ rascher Folge rotieren. Es werde Licht Wie vorher beschrieben, steht dem Angreifer zu diesem Zeitpunkt ein Pool von Maschinen zur Verfügung, die z.b. eine gewisse Anfrage auf Befehl ausführen können. Er kann beliebige Daten mittels GET und POST an beliebige Orte senden. Nur das Problem ist: Er sieht die Antworten nicht. Das Problem hierbei ist die sogenannte same-origin Policy. Ein Beispiel: Lädt die Seite die Seite in einem iframe, so wird diese zwar in die Seite auf eingebunden, allerdings kann diese nicht lesend auf deren Inhalt zugreifen. Der Browser erkennt, dass es sich um eine andere Seite handelt und verwehrt den entsprechenden Zugriff. Würde die Seite aber in sein iframe laden, so wäre ein Zugriff möglich - schliesslich handelt es sich ja um dieselbe Domain. Er könnte entsprechend den kompletten DOM Tree auslesen und manipulieren. SWARM enthält zu diesem Zweck einen kleinen Pseudo-Nameserver, der als Teil von SWARM- als Nameserver der entsprechenden Domain dient. Als Beispiel verwenden wir hier die Domäne swarmtest.local. Der Loader unter kann theoretisch auf alle Ressourcen der Domäne swarmtest.local zugreifen. Nehmen wir nun als Beispiel einmal an, der Angreifer möchte die Seite aufrufen lassen und den Mitgliedernamen eines eingeloggten Mitgliedes an das Management Center zurücksenden, so wandelt SWARM die Adresse in um. Der Browser des Opfers kennt diese Adresse nicht und startet eine DNS Anfrage. Diese landet aufgrund der Domäne swarmtest.local bei unserem Pseudonameserver, der die gewünschte Domain oder IP-Adresse aus der Anfrage extrahiert, gegebewww.ebay.ch SWARM- Loader swarm.local 17/19

18 scip monthly Security Summary nenfalls auflöst und zurückgibt. Der Browser des Opfers denkt nun, dass die IP-Adresse - die ja auf ebay.ch zeigt - zur Adresse gehört und gewährt dem Loader vollen Zugriff auf die entsprechenden Inhalte. Die Möglichkeiten, die sich dem Angreifer hier in Kombination mit geschicktem Scripting bieten sind fast unlimitiert: Zum Beispiel kann er automatisiert feststellen, welche der momentanen SWARM-Clients über eine aktive ebay-session verfügen und automatisiert Gebote für von ihm definierte Auktionen abgeben oder die entsprechenden Passwörter verändern. Diese Angriffsart, im allgemeinen DNS Rebinding genannt, ist übrigens nicht neu. Im Gegenteil, sie ist relativ alt: Sie wurde bereits im Februar 1997 vom Department of Computer Science der Princeton University im Dokument Secure Internet Programming: DNS Attack Scenario 1 besprochen. Dabei wurde aufgezeigt, wie nicht vertrauenswürdige Java Applets eine Verbindung zu einem beliebigen Host aufbauen können. Heute, zehn Jahre später stehen uns neue Technologien zur Verfügung, die Lücke jedoch ist immer noch die selbe. Die Universität Stanford bewies indes 7, dass es durchaus möglich ist mit Infrastruktur im Wert von lediglich 1$ über 1' IP Adressen temporär in einer Art zu nutzen, die der von SWARM ähnelt. Das grundlegende Design des Domain Name Systems lässt es kaum zu, diesem Problem entgegenzuwirken. Zumindest nicht, ohne gleichzeitig möglicherweise noch weit grössere Probleme damit zu verursachen. Zwar wurde mit dem sogenannten DNS Pinning eine Gegenmassnahme in Browsern implementiert, bedingt durch die heutige Verwendung einer Vielzahl von Plugins allerdings keinen wirklichen Schutz mehr bieten kann. Bedigt dadurch, dass die meisten Applikationen eigenständige Pin- Listen führen, bleiben derartige Angriffe dennoch problemlos möglich. Interessant wird der Einsatz von DNS Rebinding dann, wenn man bedenkt dass der Angreifer im Prinzip stets mit den Augen des Opfers auf die aufzurufenden Seiten sieht. Der Browser des Opfers ruft die Seite auf und leitet ihm den Inhalt weiter. Das heisst auch, dass er unabhängig allfälliger Firewalls Zugriff auf die lokalen Netzwerkressourcen des Opfers hat. Oder - im Falle eines aktiven SWARM-Netzes - auf alle lokalen Netzwerkressourcen aller aktiven Clients. Somit steht es einem Angreifer theoretisch offen, zum Beispiel einen Portscan des lokalen Netzwerkbereiches vorzunehmen und interessante Ressour- cen wie z.b. Netzwerkgeräte (Router, Switches, Access Points) mit Standardcredentials an das zentrale Management zu melden. Damit steht es dem Angreifer theoretisch offen, seinen Zugang zu einem einzelnen Netzwerk auszuweiten und so mehr Kontrolle zu erlangen. Gut oder Böse? SWARM ist mehr ein Proof of Concept als eine produktive Applikation. Defakto wird sie nie öffentlich erhältlich, geschweige denn käuflich zu erwerben sein. Im Gegenteil: SWARM soll zu eigenen Gedankenspielen anregen und das Bewusstsein und auch das Verständnis für teils als banal geltende, teils designbedingte Schwachstellen in der aktuellen Implementation von Webbrowsern fördern. Somit wäre es wohl sinnlos, SWARM überhaupt als gut oder böse taxieren zu wollen. Letzten Endes bleibt es ein Werkzeug, dessen Zweck von dem bestimmt wird, der es führt. Fakt ist aber, dass ähnliche Produkte bereits heute von Spammern und ähnlichem Klientel aktiv genutzt wird Grund genug für die gute Seite, sich intensiver mit solchen Mechanismen zu beschäftigten. Zusammenfassung SWARM ist eine zentralisiert funktionierende Steuerzentrale, die mittels Javascript und/oder Flash eine Vielzahl von Clients in Form regulären bis zu einem gewissen Mass fernsteuern kann. Durch den Einsatz verschiedener Techniken (u.a. DNS Rebinding) kann der Angreifer damit lesend und schreibend auf alle Ressourcen zugreifen, die dem Webbrowser des jeweiligen Opfers zugänglich sind. Dies umschliesst interne/externe Netzwerkressourcen sowie beliebige Webseiten. SWARM befindet sich derzeit noch in Entwicklung und ist nicht öffentlich verfügbar. Eine Veröffentlichung der Applikation ist nicht geplant, das zur Verfügung stellen der technischen Dokumentation ist dagegen vorgesehen /19

19 scip monthly Security Summary Impressum Herausgeber: scip AG Badenerstrasse 551 CH-848 Zürich T Zuständige Person: Marc Ruef Security Consultant T scip AG ist eine unabhängige Aktiengesellschaft mit Sitz in Zürich. Seit der Gründung im September fokussiert sich die scip AG auf Dienstleistungen im Bereich IT-Security. Unsere Kernkompetenz liegt dabei in der Überprüfung der implementierten Sicherheitsmassnahmen mittels Penetration Tests und Security Audits und der Sicherstellung zur Nachvollziehbarkeit möglicher Eingriffsversuche und Attacken (Log- Management und Forensische Analysen). Vor dem Zusammenschluss unseres spezialisierten Teams waren die meisten Mitarbeiter mit der Implementierung von Sicherheitsinfrastrukturen beschäftigen. So verfügen wir über eine Reihe von Zertifizierungen (Solaris, Linux, Checkpoint, ISS, Cisco, Okena, Finjan, TrendMicro, Symantec etc.), welche den Grundstein für unsere Projekte bilden. Das Grundwissen vervollständigen unsere Mitarbeiter durch ihre ausgeprägten Programmierkenntnisse. Dieses Wissen äussert sich in selbst geschriebenen Routinen zur Ausnutzung gefundener Schwachstellen, dem Coding einer offenen Exploiting- und Scanning Software als auch der Programmierung eines eigenen Log- Management Frameworks. Den kleinsten Teil des Wissens über Penetration Test und Log- Management lernt man jedoch an Schulen nur jahrelange Erfahrung kann ein lückenloses Aufdecken von Schwachstellen und die Nachvollziehbarkeit von Angriffsversuchen garantieren. Einem konstruktiv-kritischen Feedback gegenüber sind wir nicht abgeneigt. Denn nur durch angeregten Ideenaustausch sind Verbesserungen möglich. Senden Sie Ihr Schreiben an Das Errata (Verbesserungen, Berichtigungen, Änderungen) der scip monthly Security Summarys finden Sie online. Der Bezug des scip monthly Security Summary ist kostenlos. Anmelden! Abmelden! 19/19

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.04.2007

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.04.2007 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Literaturverzeichnis 7. Impressum 1. Editorial Software Analyse Das Untersuchen

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.09.2009

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.09.2009 scip monthly Security Summary 19.9.9 Contents 1. Editorial. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Nichtexistenz

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.05.2007

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.05.2007 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Literaturverzeichnis 7. Impressum 1. Editorial Real World Testing vs. Formale

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.12.2006

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.12.2006 scip monthly Security Summary 19.12.6 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Literaturverzeichnis 7. Impressum 1. Editorial

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen.

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen. Philosophie & Tätigkeiten Wir sind ein Unternehmen, welches sich mit der Umsetzung kundenspezifischer Softwareprodukte und IT-Lösungen beschäftigt. Wir unterstützen unsere Kunde während des gesamten Projektprozesses,

Mehr

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

Internet: Was ist das? - Routing

Internet: Was ist das? - Routing Internet: Was ist das? - Routing Auch Router Server Router Client ClientServer? Grundlagen Internet Sicherheit Angriffe Schutz Internet Map, The Opte Project Internet: Was ist das? - Netzwerk Peer-to-Peer

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12 Hochschule Niederrhein University of Applied Sciences Elektrotechnik und Informatik Faculty of Electrical Engineering and Computer Science web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Inhalt

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.03.2007

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.03.2007 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Literaturverzeichnis 7. Impressum 1. Editorial Eingabeüberpüfung? Wozu?! Ich

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

A9: Mobile Security - So werden Sie angegriffen! Renato Ettisberger renato.ettisberger@switch.ch

A9: Mobile Security - So werden Sie angegriffen! Renato Ettisberger renato.ettisberger@switch.ch A9: Mobile Security - So werden Sie angegriffen! Renato Ettisberger renato.ettisberger@switch.ch Zürich, 11. Oktober 2011 Security (SWITCH-CERT) Derzeit 7 Mitarbeiter, bald 10 Unser Team erbringt Security-Dienstleistungen

Mehr

Die Herausforderungen in der Logfileanalyse zur Angriffserkennung

Die Herausforderungen in der Logfileanalyse zur Angriffserkennung Die Herausforderungen in der Logfileanalyse zur Angriffserkennung Patrick Sauer, M.Sc. 29.01.2014 V1.0 Agenda Zielstellung Vorstellung: Wer bin ich, was mache ich? Angriffe und die Auswirkungen in den

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript

Mehr

:: Anleitung Demo Benutzer 1cloud.ch ::

:: Anleitung Demo Benutzer 1cloud.ch :: :: one source ag :: Technopark Luzern :: D4 Platz 4 :: CH-6039 Root-Längenbold LU :: :: Fon +41 41 451 01 11 :: Fax +41 41 451 01 09 :: info@one-source.ch :: www.one-source.ch :: :: Anleitung Demo Benutzer

Mehr

OpenWAF Web Application Firewall

OpenWAF Web Application Firewall OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.08.2011

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.08.2011 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Back to the Future Ich bin ein unermüdlicher Verfechter

Mehr

UCS 2.4 Sicherheits-Update 3

UCS 2.4 Sicherheits-Update 3 UCS 2.4 Sicherheits-Update 3 Thema: Änderungen im Sicherheitsupdate 3 für UCS 2.4 Datum: 3. Mai 2011 Seitenzahl: 7 Versionsnummer: 8598 Autoren: Univention GmbH feedback@univention.de Univention GmbH Mary-Somerville-Straße

Mehr

Fertigprodukte. Bruno Blumenthal und Roger Meyer. 18. Juli 2003. Zusammenfassung

Fertigprodukte. Bruno Blumenthal und Roger Meyer. 18. Juli 2003. Zusammenfassung Fertigprodukte Bruno Blumenthal und Roger Meyer 18. Juli 2003 Zusammenfassung Dieses Dokument beschreibt die Fertigprodukte welche im Projekt NetWACS eingesetzt werden sollen. Es soll als Übersicht dienen

Mehr

Zugriff auf die Installation mit dem digitalstrom- Konfigurator mit PC und Mac

Zugriff auf die Installation mit dem digitalstrom- Konfigurator mit PC und Mac Zugriff auf die Installation mit dem digitalstrom- Konfigurator mit PC und Mac Zusatz zum digitalstrom Handbuch VIJ, aizo ag, 15. Februar 2012 Version 2.0 Seite 1/10 Zugriff auf die Installation mit dem

Mehr

Gefahren aus dem Internet 1 Grundwissen April 2010

Gefahren aus dem Internet 1 Grundwissen April 2010 1 Grundwissen Voraussetzungen Sie haben das Internet bereits zuhause oder an der Schule genutzt. Sie wissen, was ein Provider ist. Sie wissen, was eine URL ist. Lernziele Sie wissen, was es braucht, damit

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.04.2011

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.04.2011 scip monthly Security Summary 19.4.11 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Das Gesetz

Mehr

Netzwerksicherheit Übung 9 Websicherheit

Netzwerksicherheit Übung 9 Websicherheit Netzwerksicherheit Übung 9 Websicherheit David Eckhoff, Tobias Limmer, Christoph Sommer Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg, Germany

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.11.2006

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.11.2006 scip monthly Security Summary 19.11.6 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Literaturverzeichnis 7. Impressum 1. Editorial

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

Sicherer Remote Support über das Internet mit UltraVNC

Sicherer Remote Support über das Internet mit UltraVNC Sicherer Remote Support über das Internet mit UltraVNC Diese Dokumentation beschreibt die Lösung eines abgesicherten Zugriffs auf einen über das Internet erreichbaren Windows Systems unter Verwendung des

Mehr

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer Softwaresicherheit Sicherheitsschwachstellen im größeren Kontext Ulrich Bayer Conect Informunity, 30.1.2013 2 Begriffe - Softwaresicherheit Agenda 1. Einführung Softwaresicherheit 1. Begrifflichkeiten

Mehr

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013 Workshop Sicherheit im Netz KZO Wetzikon Peter Skrotzky, 4. Dezember 2013 Zentrale Fragen! Wie kann sich jemand zu meinem Computer Zugriff verschaffen?! Wie kann jemand meine Daten abhören oder manipulieren?!

Mehr

Bin ich fit für myconvento?

Bin ich fit für myconvento? Bin ich fit für myconvento? Sie planen den Einsatz unserer innovativen Kommunikationslösung myconvento und fragen sich gerade, ob Ihr Rechner die Anforderungen erfüllt? Hier erfahren Sie mehr. Inhalt Was

Mehr

DRAFT, VERSION 1.0, 10.10.06 PETER MACHAT, TECHNICAL ACCOUNT MANAGER T-MOBILE BUSINESS UNIT, RESEARCH IN MOTION DEUTSCHLAND GMBH

DRAFT, VERSION 1.0, 10.10.06 PETER MACHAT, TECHNICAL ACCOUNT MANAGER T-MOBILE BUSINESS UNIT, RESEARCH IN MOTION DEUTSCHLAND GMBH BLACKBERRY UND NOKIA E61 DRAFT, VERSION 1.0, 10.10.06 PETER MACHAT, TECHNICAL ACCOUNT MANAGER T-MOBILE BUSINESS UNIT, RESEARCH IN MOTION DEUTSCHLAND GMBH INPUT: STEFAN TEPPERT, PIPELINE DV-BERATUNG GMBH

Mehr

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7 BSI-Veröffentlichungen zur Cyber-Sicherheit ANALYSEN Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen Auswirkungen der Konfiguration auf den Schutz gegen aktuelle Drive-by-Angriffe Zusammenfassung

Mehr

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors Installation und Konfiguration des Outlook Connectors Vertraulichkeit Die vorliegende Dokumentation beinhaltet vertrauliche Informationen und darf nicht an etwelche Konkurrenten der EveryWare AG weitergereicht

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.01.2007

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.01.2007 scip monthly Security Summary 19.1.7 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Literaturverzeichnis 7. Impressum 1. Editorial

Mehr

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist?

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? Pallas Security Colloquium Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? 18.10.2011 Referent: Tim Kretschmann Senior System Engineer, CISO Pallas GmbH Hermülheimer Straße 8a

Mehr

Live Hacking auf eine Citrix Umgebung

Live Hacking auf eine Citrix Umgebung Live Hacking auf eine Citrix Umgebung Ron Ott + Andreas Wisler Security-Consultants GO OUT Production GmbH www.gosecurity.ch GO OUT Production GmbH Gegründet 1999 9 Mitarbeiter Dienstleistungen: 1 Einleitung

Mehr

Aufbau einer Testumgebung mit VMware Server

Aufbau einer Testumgebung mit VMware Server Aufbau einer Testumgebung mit VMware Server 1. Download des kostenlosen VMware Servers / Registrierung... 2 2. Installation der Software... 2 2.1 VMware Server Windows client package... 3 3. Einrichten

Mehr

When your browser turns against you Stealing local files

When your browser turns against you Stealing local files Information Security When your browser turns against you Stealing local files Eine Präsentation von Alexander Inführ whoami Alexander Inführ Information Security FH. St Pölten Internet Explorer Tester

Mehr

Wie steht es um die Sicherheit in Software?

Wie steht es um die Sicherheit in Software? Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die

Mehr

Systemanforderungen und Installationsanleitung für Internet Security. Inhalt

Systemanforderungen und Installationsanleitung für Internet Security. Inhalt Systemanforderungen und Installationsanleitung für Internet Security Inhalt 1 Systemanforderungen für Internet Security...2 2 Installationsanleitung: Internet Security für einen Test auf einem Computer

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.08.2010

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.08.2010 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Das Pentesting Experten System Seit meinem Eintritt

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

Profil von Patrick van Dijk. www.xantavia.net 15. Juli 2015

Profil von Patrick van Dijk. www.xantavia.net 15. Juli 2015 Profil von Patrick van Dijk www.xantavia.net 15. Juli 2015 1 Inhaltsverzeichnis 1 Person 3 1.1 Primärfähigkeiten............................... 3 2 Fähigkeiten 3 2.1 Projektmanagement.............................

Mehr

2. Kommunikation und Synchronisation von Prozessen 2.2 Kommunikation zwischen Prozessen

2. Kommunikation und Synchronisation von Prozessen 2.2 Kommunikation zwischen Prozessen 2. Kommunikation und Synchronisation von Prozessen 2.2 Kommunikation zwischen Prozessen Dienste des Internets Das Internet bietet als riesiges Rechnernetz viele Nutzungsmöglichkeiten, wie etwa das World

Mehr

TKÜV mit SPONTS. Kurt Huwig Vorstand iku Systemhaus AG Leiter Entwicklungsabteilung http://www.iku ag.de/ 2004 iku Systemhaus AG http://www.iku ag.

TKÜV mit SPONTS. Kurt Huwig Vorstand iku Systemhaus AG Leiter Entwicklungsabteilung http://www.iku ag.de/ 2004 iku Systemhaus AG http://www.iku ag. TKÜV mit SPONTS Kurt Huwig Vorstand iku Systemhaus AG Leiter Entwicklungsabteilung http://www.iku ag.de/ iku Systemhaus AG gegründet 1997 seit 2002 Aktiengesellschaft 10 Mitarbeiter Geschäftsfelder Linux

Mehr

Collax Web Application

Collax Web Application Collax Web Application Howto In diesem Howto wird die Einrichtung des Collax Moduls Web Application auf einem Collax Platform Server anhand der LAMP Anwendung Joomla beschrieben. LAMP steht als Akronym

Mehr

Installationshandbuch

Installationshandbuch Installationshandbuch Erforderliche Konfiguration Installation und Aktivierung - 1 - Erforderliche Konfiguration Programme der 4D v15 Produktreihe benötigen folgende Mindestkonfiguration: Windows OS X

Mehr

Web Application Testing

Web Application Testing Sicherheit von Web Applikationen - Web Application Testing Veranstaltung: IT-Sicherheitstag NRW, 04.12.2013, KOMED MediaPark, Köln Referent: Dr. Kurt Brand Geschäftsführer Pallas GmbH Pallas GmbH Hermülheimer

Mehr

Audit von Authentifizierungsverfahren

Audit von Authentifizierungsverfahren Audit von Authentifizierungsverfahren Walter Sprenger, Compass Security AG Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel +41 55-214 41 60 Fax +41 55-214 41 61 team@csnc.ch

Mehr

Profil von Patrick van Dijk

Profil von Patrick van Dijk Profil von Patrick van Dijk www.xantavia.net 15. Juli 2015 Stark gekürzte Version des Profils, mit wenigen Projekten im Fokus. Die vollständige Liste befindet sich auf der Webseite xantavia.net. 1 Inhaltsverzeichnis

Mehr

Mobile Datensicherheit Überblick ios und Android

Mobile Datensicherheit Überblick ios und Android Mobile Datensicherheit Überblick ios und Android Aldo Rodenhäuser Tom Sprenger Senior IT Consultant CTO 5. November 2013 Agenda Präsentation AdNovum Smartphone Daten Kommunikationskanäle Risikolandschaft

Mehr

Linux Cluster in Theorie und Praxis

Linux Cluster in Theorie und Praxis Foliensatz Center for Information Services and High Performance Computing (ZIH) Linux Cluster in Theorie und Praxis Monitoring 30. November 2009 Verfügbarkeit der Folien Vorlesungswebseite: http://tu-dresden.de/die_tu_dresden/zentrale_einrichtungen/

Mehr

RWE Cloud Services. RWE Cloud Services Global Access Erste Schritte

RWE Cloud Services. RWE Cloud Services Global Access Erste Schritte Global Access Erste Schritte Copyright RWE IT. Any use or form of reproduction, in whole or part, of any material whether by photocopying or storing in any medium by electronic means or otherwise requires

Mehr

Installation SuperWebMailer

Installation SuperWebMailer Installation SuperWebMailer Die Installation von SuperWebMailer ist einfach gestaltet. Es müssen zuerst per FTP alle Dateien auf die eigene Webpräsenz/Server übertragen werden, danach ist das Script install.php

Mehr

IT-Sicherheit auf dem Prüfstand Penetrationstest

IT-Sicherheit auf dem Prüfstand Penetrationstest IT-Sicherheit auf dem Prüfstand Penetrationstest Risiken erkennen und Sicherheitslücken schließen Zunehmende Angriffe aus dem Internet haben in den letzten Jahren das Thema IT-Sicherheit für Unternehmen

Mehr

Cnlab / CSI 2011. Demo Smart-Phone: Ein tragbares Risiko?

Cnlab / CSI 2011. Demo Smart-Phone: Ein tragbares Risiko? Cnlab / CSI 2011 Demo Smart-Phone: Ein tragbares Risiko? Agenda Demo 45 Schutz der Smart-Phones: - Angriffsszenarien - «Jailbreak» - Was nützt die PIN? - Demo: Zugriff auf Passwörter iphone Bekannte Schwachstellen

Mehr

Profil von Patrick van Dijk

Profil von Patrick van Dijk Profil von Patrick van Dijk www.xantavia.net 15. Juli 2015 Inhaltsverzeichnis 1 Person 2 1.1 Primärfähigkeiten............................... 2 2 Fähigkeiten 2 2.1 Programmierung...............................

Mehr

Einsatzbedingungen FAMOS 4.0

Einsatzbedingungen FAMOS 4.0 Einsatzbedingungen FAMOS 4.0 Architektur FAMOS ist als Client-Server System konzipiert und voll netzwerkfähig. Alternativ kann die Installation als Einzelplatz-Lösung erfolgen. Einige Erweiterungen wie

Mehr

Beschreibung Mobile Office

Beschreibung Mobile Office Beschreibung Mobile Office 1. Internet / Netz Zugriff Für die Benutzung von Mobile Office ist lediglich eine Internet oder Corporate Netz Verbindung erforderlich. Nach der Verbindungsherstellung kann über

Mehr

GeoShop Netzwerkhandbuch

GeoShop Netzwerkhandbuch Technoparkstrasse 1 8005 Zürich Tel.: 044 / 350 10 10 Fax.: 044 / 350 10 19 GeoShop Netzwerkhandbuch Zusammenfassung Diese Dokumentation beschreibt die Einbindung des GeoShop in bestehende Netzwerkumgebungen.

Mehr

Andy Kurt Vortrag: 7.11.14. OSX - Computeria Meilen

Andy Kurt Vortrag: 7.11.14. OSX - Computeria Meilen Andy Kurt Vortrag: 7.11.14 OSX - Computeria Meilen 1 von 10 Andy Kurt Vortrag: 7.11.14 Screen IT & Multimedia AG Webseite: www.screen-online.ch Link Fernwartung: http://screen-online.ch/service/fernwartung.php

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

Technische Voraussetzungen Stand: 29. Juli 2014

Technische Voraussetzungen Stand: 29. Juli 2014 Technische Voraussetzungen Stand: 29. Juli 2014 FineSolutions AG Culmannstrasse 37 8006 Zürich Telefon +41 44 245 85 85 Telefax +41 44 245 85 95 support@finesolutions.ch Inhaltsverzeichnis 1 Einführung...

Mehr

Systemanforderungen Verlage & Akzidenzdruck

Systemanforderungen Verlage & Akzidenzdruck OneVision Software AG Inhalt Asura 9.5, Asura Pro 9.5, Garda 5.0...2 PlugBALANCEin 6.5, PlugCROPin 6.5, PlugFITin 6.5, PlugRECOMPOSEin 6.5, PlugSPOTin 6.5,...2 PlugTEXTin 6.5, PlugINKSAVEin 6.5, PlugWEBin

Mehr

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

LOGOS. Version 2.41. Installationsanleitung - MS Windows

LOGOS. Version 2.41. Installationsanleitung - MS Windows LOGOS Version 2.41 Installationsanleitung - MS Windows Inhalt 1. Systemanforderungen...2 2. Installation des LOGOS-Servers...3 2.1. LOGOS-Server installieren...3 2.2. Anlegen eines Administrators...7 3.

Mehr

Nagios. Jens Link jenslink@quux.de. September 2008. Jens Link () Nagios September 2008 1 / 1

Nagios. Jens Link jenslink@quux.de. September 2008. Jens Link () Nagios September 2008 1 / 1 Nagios Jens Link jenslink@quux.de September 2008 Jens Link () Nagios September 2008 1 / 1 Wer bin ich? Freiberuflicher Consultant Schwerpunkt: komplexe Netzwerke, Netzwerksecurity, Netzwerkmonitoring,

Mehr

Session Management und Cookies

Session Management und Cookies LMU - LFE Medieninformatik Blockvorlesung Web-Technologien Wintersemester 2005/2006 Session Management und Cookies Max Tafelmayer 1 Motivation HTTP ist ein zustandsloses Protokoll Je Seitenaufruf muss

Mehr

V10 I, Teil 2: Web Application Security

V10 I, Teil 2: Web Application Security IT-Risk-Management V10 I, Teil : Web Application Security Tim Wambach, Universität Koblenz-Landau Koblenz, 9.7.015 Agenda Einleitung HTTP OWASP Security Testing Beispiele für WebApp-Verwundbarkeiten Command

Mehr

Eine Million Kundendaten gestohlen - Aktuelle Fälle von Datendiebstahl und wie sie grundsätzlich funktionieren

Eine Million Kundendaten gestohlen - Aktuelle Fälle von Datendiebstahl und wie sie grundsätzlich funktionieren Eine Million Kundendaten gestohlen - Aktuelle Fälle von Datendiebstahl und wie sie grundsätzlich funktionieren patrick.hof@redteam-pentesting.de http://www.redteam-pentesting.de netzwerk recherche 01./02.

Mehr

DocuWare unter Windows 7

DocuWare unter Windows 7 DocuWare unter Windows 7 DocuWare läuft unter dem neuesten Microsoft-Betriebssystem Windows 7 problemlos. Es gibt jedoch einige Besonderheiten bei der Installation und Verwendung von DocuWare, die Sie

Mehr

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5. Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich

Mehr

Spurenarm surfen. Kire. Swiss Privacy Foundation www.privacyfoundation.ch

Spurenarm surfen. Kire. Swiss Privacy Foundation www.privacyfoundation.ch Spurenarm surfen Kire Swiss Privacy Foundation www.privacyfoundation.ch Swiss Privacy Foundation Der gemeinnützige Verein Swiss Privacy Foundation setzt sich für den Schutz der digitalen Privatsphäre,

Mehr

SICHER o INFORMIERT ------------------- Der Newsletter des Bürger-CERT Ausgabe vom 16.04.2015 Nummer: NL-T15/0008

SICHER o INFORMIERT ------------------- Der Newsletter des Bürger-CERT Ausgabe vom 16.04.2015 Nummer: NL-T15/0008 SICHER o INFORMIERT ------------------- Der Newsletter des Bürger-CERT Ausgabe vom 16.04.2015 Nummer: NL-T15/0008 Die Themen dieses Newsletters: 1. Apps: Hoher Anteil an Gray- und Schadsoftware 2. D-Link:

Mehr

Medienkompetenz, Grafik und DTP

Medienkompetenz, Grafik und DTP VO 340381 Informationsdesign; Medienkompetenz, Grafik und DTP Zentrum für Translationswissenschaft Letztes Mal sprachen wir über: Computer Aufbau Software Was ist Software? Software Soft im Sinne von weich/veränderbar

Mehr

IT Best Practice Rules

IT Best Practice Rules Informatikdienste Direktion Reto Gutmann IT Best Practice Rules Versionskontrolle Version Historie / Status Datum Autor/in URL 1.0 Initial Version 27.08.2013 Autorengemeinschaft ID - nur für internen Gebrauch

Mehr

Systemvoraussetzungen

Systemvoraussetzungen [Stand: 10.02.2014 Version: 37.0] Hier erhalten Sie eine Übersicht zu den für alle Software-Produkte von ELO Digital Office GmbH. Inhalt 1 ELOprofessional 2011... 5 1.1 Server 2011... 5 1.1.1 Windows...

Mehr

Nutzung der VDI Umgebung

Nutzung der VDI Umgebung Nutzung der VDI Umgebung Inhalt 1 Inhalt des Dokuments... 2 2 Verbinden mit der VDI Umgebung... 2 3 Windows 7... 2 3.1 Info für erfahrene Benutzer... 2 3.2 Erklärungen... 2 3.2.1 Browser... 2 3.2.2 Vertrauenswürdige

Mehr

Systemvoraussetzungen Windows Server 2008 Windows Server 2008 R2

Systemvoraussetzungen Windows Server 2008 Windows Server 2008 R2 Systemvoraussetzungen Windows Server 2008 Windows Server 2008 R2 Basis: HiScout 2.5 Datum: 17.06.2015 14:05 Autor(en): HiScout GmbH Version: 1.1 Status: Freigegeben Dieses Dokument beinhaltet 13 Seiten.

Mehr

Grundlagen Vernetzung am Beispiel WLAN 1 / 6. Aufbau

Grundlagen Vernetzung am Beispiel WLAN 1 / 6. Aufbau Grundlagen Vernetzung am Beispiel WLAN 1 / 6 Peer-to Peer-Netz oder Aufbau Serverlösung: Ein Rechner (Server) übernimmt Aufgaben für alle am Netz angeschlossenen Rechner (Clients) z.b. Daten bereitstellen

Mehr

http://www.cis.upenn.edu/~bcpierce/unison/download/stable/unison- 2.9.1/

http://www.cis.upenn.edu/~bcpierce/unison/download/stable/unison- 2.9.1/ Einführung Was ist Unison? Unison ist ein Dateisynchronisationsprogramm für Windows und Unix. Es teilt sich viele Funktionen mit anderen Programmen, wie z.b. CVS und rsync. Folgend einige Vorteile des

Mehr

admeritia: UPnP bietet Angreifern eine Vielzahl an

admeritia: UPnP bietet Angreifern eine Vielzahl an 1 von 5 20.10.2008 16:31 19.06.08 Von: Thomas Gronenwald admeritia: UPnP bietet Angreifern eine Vielzahl an Möglichkeiten ein System zu manipulieren Wofür steht UPnP? UPnP steht im generellen für Universal

Mehr

Handbuch Remotezugang V 0.2

Handbuch Remotezugang V 0.2 & Handbuch Remotezugang V 0.2 Stand: August 2012 Alle softwarebezogenen Beschreibungen beziehen sich auf die Software mygekko living V1279. Wir empfehlen bei älteren Versionen das System upzudaten. Kleine

Mehr

Vielen Dank, dass Sie sich für die Software der myfactory International GmbH entschieden haben.

Vielen Dank, dass Sie sich für die Software der myfactory International GmbH entschieden haben. Vielen Dank, dass Sie sich für die Software der myfactory International GmbH entschieden haben. Um alle Funktionen unserer Software nutzen zu können, sollten Sie bitte in Ihrem Browser folgende Einstellungen

Mehr

Com Career Track: MCITP Windows Server 2008 R2 Enterprise Administrator

Com Career Track: MCITP Windows Server 2008 R2 Enterprise Administrator AUSBILDUNG Com Career Track: MCITP Windows Server 2008 R2 Enterprise Administrator Standardvariante: 28 Tage ITPEA inkl. Prüfungen Offizieller Preis 12.950,00 zzgl. MwSt. 15.410,50 inkl. MwSt. Unser Com

Mehr

Proseminar: Website-Management-Systeme

Proseminar: Website-Management-Systeme Proseminar: Website-Management-Systeme Thema: Web: Apache/Roxen von Oliver Roeschke email: o_roesch@informatik.uni-kl.de Gliederung: 1.) kurze Einleitung 2.) Begriffsklärung 3.) Was ist ein Web? 4.) das

Mehr

Einrichtung des NVS Calender-Google-Sync-Servers. Installation des NVS Calender-Google-Sync Servers (Bei Neuinstallation)

Einrichtung des NVS Calender-Google-Sync-Servers. Installation des NVS Calender-Google-Sync Servers (Bei Neuinstallation) Einrichtung des NVS Calender-Google-Sync-Servers Folgende Aktionen werden in dieser Dokumentation beschrieben und sind zur Installation und Konfiguration des NVS Calender-Google-Sync-Servers notwendig.

Mehr

Thema: Systemsoftware

Thema: Systemsoftware Teil II 25.02.05 10 Uhr Thema: Systemsoftware»Inhalt» Servermanagement auf BladeEbene» Features der ManagementSoftware» Eskalationsmanagement» Einrichten des Betriebssystems» Steuerung und Überwachung»

Mehr

E-Mail Programm. Als e-mail Programm oder e-mail Client bezeichnet man Programme mit denen man mails erstellen, versenden, empfangen und lesen kann.

E-Mail Programm. Als e-mail Programm oder e-mail Client bezeichnet man Programme mit denen man mails erstellen, versenden, empfangen und lesen kann. E-Mail E-Mail Programm Als e-mail Programm oder e-mail Client bezeichnet man Programme mit denen man mails erstellen, versenden, empfangen und lesen kann. Einige E-Mail Programme Einige bekannte Programme

Mehr

Installationsanleitung für Internet Security. Inhalt

Installationsanleitung für Internet Security. Inhalt Installationsanleitung für Internet Security Inhalt 1 Systemanforderungen für Internet Security...2 2 Installationsanleitung: Internet Security für einen Test auf einem Computer installieren...3 3 Installationsanleitung

Mehr

Profil eines Entwicklers

Profil eines Entwicklers Profil eines Entwicklers 15. Juli 2015 Inhaltsverzeichnis 1 Person 2 1.1 Primärfähigkeiten............................... 2 2 Fähigkeiten 2 2.1 Programmierung............................... 2 2.2 Datenbanken.................................

Mehr

Fachreferat. EFI -BIOS Nachfolger-

Fachreferat. EFI -BIOS Nachfolger- Fachreferat EFI -BIOS Nachfolger- Kurzerläuterung Übersicht EFI - Geschichte Aufbau und Vorteile Grafische Veranschaulichung Was passiert beim direkten einschalten eines Computers? Wie kommt die Intelligenz

Mehr