4. Mai 2011
Manchmal finde ich die Briten ja putzig. Ok, die Inselaffen haben einen an der Waffel und drehen völlig am Rad. Eigene Staatsbürger an die USA ausliefern geht schon mal gar nicht. Leute einsperren weil die Verschlüsselungspasswörter nicht rausrücken wollen geht auch nicht. Und sämtliche Städte mit Kameras zupflastern auch nicht. Aber dafür haben sie die BBC. Und ein Informationsfreiheitsgesetz, das diesen Namen verdient, im Gegensatz zu Deutschland.
Interessant wird es, wenn man sich ansieht was dann so alles veröffentlicht wird. Beispielsweise im National Risk Register. Das beschäftigt sich eigentlich mit der Katastrophenvorsorge in Großbritannien aber dazu gehören inzwischen neben Flut, Sturm und Unfällen auch Cyber Attacks. Die Risikobewertung unterscheidet dabei zwei Kategorien: Cyber Attacks: Infrastructure und Cyber Attacks: Data Confidentiality. Die Unterscheidung macht Sinn. Angriffe auf kritische Infrastruktur finden relativ selten statt, vertrauliche Daten gehen aber ständig verloren. Vor allem in Großbritannien. Entsprehend fällt die Bewertung aus.
Cyber Attacks: Infrastructure – geringe Eintrittswahrscheinlichkeit, mittlerer Schaden. Höheren Schaden verursachen beispielsweise Major Transport Incidents, Major Industrial Incidents, Costal Flooding und Pandemic Human Diseases.
Cyber Attacks: Data Confidentiality – Hohe Eintrittswahrscheinlichkeit, geringer Schaden. Eine niedrigeren Schaden hat gar nichts, also richtig wichtig kann der Datenschutz nicht sein. Eine höhere Eintrittswahrscheinlichkeit hat nur noch Attacks on Transport. Wobei ich mich nicht erinnern kann, dass soooo viele Terroranschläge auf öffentliche Transportmittel passieren. Ich glaube da ist mehr die Angst und Panik der Vater des Gedanken. Sitzt deren Innenminister eigentlich auch im Rollstuhl?
Man kann sich den Risk Assessment Process jedenfalls anschauen, der erläutert wie die Briten da vorgehen. Und das kann man garantiert auch mal irgendwo wieder verwenden.
22. April 2011
Hätte man sicher auch Vulnerability Management for Managers nennen können. Obwohl, ist das gleiche.
Das Buch ist von John Wiley & Sons und wird von Qualys gesponsert. Bei Qualys bekommt man auch das eBook kostenlos zum Download.
via: Security4All
9. April 2010
Nur ein Link, damit ich den wiederfinde.
Stichwörter dazu: NSA, CIA, NRO, DOJ
14. März 2010
Mich hat folgende Anfrage erreicht:
Ich bin dabei eine Seminararbeit zum Thema Methoden und Konzepte zur Mitarbeitersensibilisierung schreiben. Nun meine Frage: Gibt es hierzu einschlägige und gute Literatur?
Ich tue mir da ein wenig schwer. Viel Material das ich verwende habe ich mir selbst ausgedacht oder ist im Rahmen von Projektarbeiten entstanden. Aktuell arbeite ich gerade wieder für und mit einem Kunden an mehreren Filmen, Fotostories und einer Plakataktion zur Mitarbeitersensibilisierung.
Mir fiel so spontan deshalb gar nicht viel ein (Reihenfolge ohne Wertung):
- Bücher
- Broschüren und Artikel
- Webseiten
- Öffentliche Dokumente
Das sind im großen und ganzen die Sachen die ich gelesen haben. Über Ergänzung in den Kommentaren würde ich mich freuen.
Voraussetzung zur Aufnahme in diese Liste ist natürlich, dass es sich um öffentliche, frei zugängliche und zitierfähige Dokumente sind. Irgendwelche Pressemitteilungen und Werbeflyer von Firmen helfen nicht weiter. Reine Firmenwerbung ohne Inhalte in den Kommentaren wird von mir deshalb auch nach Gutdünken gelöscht.
15. Februar 2010
Eine schöne Spionagegeschichte mit schlechter Kryptographie:
When Brian Regan was arrested at Dulles Airport, he was carrrying papers containing different types of encrypted messages. To figure out what secrets he was selling and where they were hidden, investigators had to crack three kinds of codes.
Der komplette Text bei Wired. Viel Spaß beim Lesen
4. Februar 2010
Nur ein Link: http://extraexploit.blogspot.com/. Kommt in meine Blogroll.
15. Juni 2009
Die Ausgabe 66 des Phrack Magazin ist veröffentlicht:
- Introduction
- Phrack Prophile on The PaX Team
- Phrack World News
- Abusing the Objective C runtime
- Backdooring Juniper Firewalls
- Exploiting DLmalloc frees in 2009
- Persistent BIOS infection
- Exploiting UMA : FreeBSD kernel heap exploits
- Exploiting TCP Persist Timer
- Malloc Des-Maleficarum
- A Real SMM Rootkit
- Alphanumeric RISC ARM Shellcode
- Power cell buffer overflow
- Binary Mangling with Radare
- Linux Kernel Heap Tampering Detection
- Developing MacOs X Rootkits
- How close are they of hacking your brain
Oder der komplette Download als TGZ. Zu einzelnen Artikeln im Phrack Magazine möchte ich irgendwann noch Einzelartikel schreiben.
9. Juni 2009
Ich persönlich hasse ja Podcasts, Webcasts und sonstige *casts. Einladungen von Herstellern oder Distributoren wandern eigentlich generell in die Ablage P. Aber auch wenn ich mir die Podcasts des CERT vermutlich nie anhören werden, hier trotzdem der Link:
CERT’s Podcast Series: Security for Business Leaders
Unterteilt sind die Podcasts in folgende Kategorien:
Eventuell ist das ja von allgemeinerem Interesse.
26. März 2009
Ich habe mal angefangen, ein paar Dokumente zu sammeln, die sich mit dem § 202c beschäftigen:
Außerdem gibt es von Dennis Jlussi, der den Eicar-Beitrag geschrieben hat noch ein paar Präsentationen zum Thema. Mehr habe ich bisher nicht gefunden. Kennt noch jemand ein paar Diplomarbeiten von angehenden Rechtsverdrehern oder so, die sich ebenfalls kompetent mit dem Thema beschäftigen?
10. März 2009
Wenn es in der deutschen Sprache irgendwann ein Synonym für „zahnloser Bettvorleger“ gesucht wird, ist „Deutscher Presserat“ einer der heißesten Kandidaten. Zumindest die versammelte Springer-Presse (Demagogen! Alle! Zwanziger gegen Zwanziger hier spenden! Ach nee, das war was anderes, wollte ich aber auch bei passender Gelegenheit verlinken) hat die Rügen des Presserates eigentlich schon immer großzügig ignoriert.
Sehr amüsant fand ich daher den Beitrag von Golem. Der Deutsche Presserat hat die Berichterstattung der Computerzeitschrift PC-Welt über die „15 illegalsten Hacker-Tools“ gerügt. Der Artikel entspreche nicht den journalistischen Grundsätzen weil das Ansehen der Presse in Gefahr gerate, wenn eine Zeitschrift Gebrauchsanweisungen für verbotene Software gibt. Unglaublich, dieser Quatsch.
PC-Welt … das ist doch die Zeitschrift, die 1998 getitelt hatte: „Streng Geheim! Wie Sie Microsoft austricksen & die Grenzen von Windows sprengen“ und dafür prompt von Microsoft verklagt wurde. Der damalige Chefredakteur Michael Klein verteidigte den Bericht mit „Wir haben nur Informationen veröffentlicht, die schon einmal woanders standen.“ Beispielsweise in Microsoft-Schulungsunterlagen aber auch in speziell von Microsoft eingerichteten Newsgroups.
Von einem PC-Welt Artikel über die 15 illegalsten Hacker-Tools (erscheint die PC-Welt eigentlich auch in Österreich und der Schweiz? Da wären die meisten Tools gar nicht illegal, nur wir hier in Deutschland leiden unter Frau Zypries) erwarte ich mir daher im Grunde so etwas wie:
- Absolut Geheim: Nessus hier herunterladen!
- Völlig Top Secret: Mit Wireshark Pakete im Netzwerk abhören!
- Nur für Profis: BackTrack von USB starten!
- Noch geheimer als Geheim: Exploits bei Milw0rm.com (besser ohne Link)
Aber jetzt mal im Ernst … wer die PC-Welt wegen ein paar streng geheimen Windows-Tricks verklagt ist genauso wenig ernst zu nehmen wie jemand, der die PC-Welt wegen ein paar Hackertools rügt. Da müsste Heise ja fast täglich eine Rüge bekommen. Nur die Damen und Herren vom Presserat haben noch nicht gemerkt, dass sich praktisch jede Zeitung in Deutschland inzwischen über sie lustig macht.
Ich warte ja darauf, dass die Hampler der Presserat auch Online-Publikationen ins Auge fast und mir eine Rüge wegen polemischer Kritik am Presserat erteilt 😉