Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

June 26 2015

08:17

An Introduction to Content Security Policy

Overview over the different options of the Content-Security-Policy header.

November 14 2014

15:33

ChipWhisperer

Opensource toolchain for embedded hardware security research including side-channel power analysis and glitching.

July 24 2014

12:22

volatility

An advanced memory forensics framework
12:21

Rekall Memory Forensic Framework

Python tools for analyzing memory dumps of several OSses

October 16 2013

11:12

Tails: The Amnesic Incognito Live System

Tails is a live operating system, that you can start on almost any computer from a DVD or a USB stick. It aims at preserving your privacy and anonymity.

September 19 2013

13:05

masscan

Mass IP port scanner. Given enough bandwith, it allows scanning the Internet in < 6 minutes.

August 27 2013

08:06

GoLismero

Security tool to run known security tools (or own tests), collect their information and automatically merge the results in a unified log.

August 18 2013

09:07

ZMap - The Internet Scanner

ZMap is an open-source network scanner that enables researchers to easily perform Internet-wide network studies. With a single machine and a well provisioned network uplink, ZMap is capable of performing a complete scan of the IPv4 address space in under 45 minutes, approaching the theoretical limit of gigabit Ethernet.

March 13 2013

06:02

Ein Angriff auf die Verschlüsselung von https

Die gute Nachricht: Es ist noch lange nicht alles kaputt, zumindest aus Benutzersicht. Für Kryptographen gilt ein System, bei dem man nach wenigen 10.000 Handshakes auf den Inhalt zurückschließen kann, schon längst als gebrochen. Dieses Szenario bietet sich, wenn man den Algorithmus RC4 im Protokoll von https verwendet, so jedenfalls schildert es diese Zusammenfassung eines Papers.

Weiterlesen

February 02 2013

17:53

"Safer Internet Day" voraus...

Anläßlich des Safer Internet Day 2013 hat die Stadtbibliothek Stuttgart eine ganze Reihe von Vorträgen und Aktionen im Programm. An einigen davon ist der Chaos Computer Club Stuttgart mit von der Partie, so werde ich einmal vor einer Schulklasse etwas über legale Musik aus dem Netz erzählen und auf einer Podiumsdiskussion rund um das Thema "Smartphones und Sicherheit" Rede und Antwort stehen.

Weiterlesen

January 27 2013

21:16

Sichere, verschlüsselte Off-Site-Backups - die Empfängerseite

Vor einem Jahr hatte ich beschrieben, wie ich ein verschlüsseltes Backup auf einen Rechner im Netz mit Duplicity mache. Duplicity erledigt die eigentliche Backup-Aufgabe und die Verschlüsselung mit gpg. Anschließend werden diese Daten per sftp auf das entfernte System geschoben. Was man hierbei beachten kann, möchte ich hier quasi als Follow-Up-Artikel dokumentieren.

Weiterlesen

December 05 2012

20:27

Passwort-Manager: Keepass-Integration everywhere

KeePass ist ein Klassiker unter den Passwort-Managern. Wie viele andere auch speichert er Kennwörter und andere sensitive Informationen mit einem Master-Kennwort geschützt ab. Seine Vorteile waren schon immer die Opensource-Lizenz sowie Portierungen für verschiedenste Plattformen und Geräte - ich hatte ihn schon auf meinem Palm Pilot schon im Einsatz. Mit KeePass 2 gab es einen Bruch in der Entwicklung: Neues Datenformat, Mono statt C++, etc. Unter Linux (mit Mono) funktionierte der "neue" KeePass nur halblebig, weshalb ich lange Zeit noch bei KeePassX blieb. Was mich wurmte war eine fehlende Synchronisation mit Firefox. Auf den Tip eines Kollegen hin startete ich einen neuen Anlauf, und ich kann vermelden: Es geht! Nach etwas Bastelei habe ich nun die Passwörter von Firefox und den händisch eingetragenen synchronisiert auf allen Geräten, einschließlich Android.

Weiterlesen

July 26 2012

06:16

And the winner is...

Die Pwnies sind wieder los! Letzte Nacht wurden auf der Black Hat Conference die "Security-Oscars" vergeben. Den Preis gibt es in verschiedenen Kategorien, von extrem coolen Exploits bis hin zu unglaublich dummen Fehlern.
Zumindest in einigen Punkten war abzusehen, daß sich die Favoriten durchsetzen werden: Die beiden Chrome-Exploits sind schon wirklich unglaublich ausgefuchst (Verkettungen von 6 bzw. 14 Bugs, um vom Browser durch die Sandbox hindurch auf das eigentliche System zu kommen) - und über den grandiosen "so bekomme ich Admin-Rechte"-Bug von MySQL komme ich immer noch nicht hinweg ("Darf ich?" - "Nein." - "Darf ich jetzt?" - "Nein!" - "Und jetzt?" - "Na gut...").

Weiterlesen

June 28 2012

18:15

Shiro und Spring Security: Artikel im Javamagazin

Nicht ganz ohne Stolz kann ich verlautbaren: In der aktuellen Ausgabe des Javamagazins ist ein Artikel von mir zu lesen! Zugegebenermaßen hat der Release von Groovy 2.0 mir knapp den Rang abgelaufen ;-) Wenn man genau hinguckt, findet man auf dem Cover rechts unten dennoch einen Verweis auf meinen Aufsatz.
Vor geraumer Zeit stand in einem Projekt die Entscheidung über die Verwendung eines Security-Frameworks an - will man eines (Ja!), und wenn ja, welches. Kandidaten waren Apache Shiro und Spring Security. Die Überlegungen waren der Anlaß, eine Dummy-Webanwendung Schritt für Schritt abzusichern, und das jeweils mit beiden Frameworks. So bekommt man meiner Meinung nach ein gutes Gespür dafür, wie die Bibliotheken "ticken" und welche einem eher entgegenkommt.

Weiterlesen

March 09 2012

06:23

Rückblick zum gestrigen Vortrag "Verschlüsselung in der Praxis"

Gestern durfte ich im Rahmen der Vortragsreihe des CCCS anderthalb Stunden über "Verschlüsselung im Alltag" berichten. Schwerpunktmäßig ging es um https (und allem, was bei der Benutzung des Browsers schiefgehen kann) und Mailverschlüsselung mit PGP. Wichtig war mir, anhand von Beispielen herauszuarbeiten, an welchen Stellen die Verschlüsselungstechniken schützen, und an welchen Punkten die Technik nicht ausreicht (bzw. der gesunde Menschenverstand gefordert ist). Außerdem ging es natürlich um das Problem, das die hierarchischen CAs momentan haben (und im Gegensatz dazu den Ansatz, den PGP verfolgt).
Die Veranstaltung war gleich mehrfach spannend: Das technische Experiment des Abends war ein Audio-Livestream, außerdem hatte ich Live-Demos für die Browserangriffe vorbereitet. Alles Dinge, die schiefgehen können - und dann füllte sich der Saal soweit, daß zwei Mal Stühle nachgeholt werden mußten... zu Vortragsbeginn saßen rund 100 Leute im Publikum.

Weiterlesen

January 13 2012

17:46

Verunsicherung rund um dns-ok.de

Gestern war beim CCCS der allmonatliche Vortragsabend - es war eine Annekdoten-Runde rund um die Geschichte des CCC im allgemeinen und insbesondere der des CCCS. Wie üblich schloß der Abend mit der Möglichkeit zu Fragen. Prompt lautete die zweite Frage von einem älteren Herrn: "Wie vertrauenswürdig ist die Seite dns-ok.de? Die Überprüfung geht so unglaubwürdig schnell...".
Selbes Spielchen heute nochmals im Geschäft - Projektleiter kommt am Nachmittag im Büro vorbei und fragt moderat verunsichert, was es damit auf sich hat.
Und im Bekanntenkreis das ganze nochmal.

Das BSI wendet sich in einem Aufruf über die Nachrichtenmedien an die Bevölkerung, und die Folge: Verunsicherung. Offenbar hat der Staat ausreichend Vertrauen verspielt!

Weiterlesen

November 10 2011

05:18

Apples Double Fail

Was passiert ist: Charlie Miller, ein bekannter Entwickler und Security-Experte der iOS-Plattform hat (nicht zum ersten Mal) ein Sicherheitsproblem entdeckt. Diesmal konnte er nicht weniger als beliebigen, nicht-signierten Code in einer Anwendung des Appstores zur Ausführung bringen, wie er in einem Video demonstriert. Daraufhin hat Apple nicht nur seine Testanwendung aus dem Appstore entfernt, sondern ihm auch seinen Developer Key entzogen - damit ist es ihm nicht mehr möglich, Anwendungen für das iPad oder iPhone zu entwickeln.

Weiterlesen

September 18 2011

09:20

Metasploit - The penetration tester's guide

Nach der Vorankündigung habe ich mir vor einigen Wochen das E-Book "Metasploit - The penetration tester's guide" gekauft - und inzwischen durchgelesen. Ich wollte mich schon längst mal ein wenig detaillierter mit Metasploit auseinandersetzen - da war das der gefundene Anlaß :-)
Mein Eindruck: Es ist locker-flockig zu lesen, unterhaltsam, und auch (oder besser: insbesondere) für diejenigen, für die es der Erstkontakt mit der systematischen Suche nach Lücken im System ist, sicher ein Augenöffner, was so alles geht und wie einfach dies häufig ist. Die fachliche Tiefe schwankt extrem - von "wir führen nun folgendes Modul aus, Schritt für Schritt" bis "wir basteln eigenen Assembler-Exploitcode"; dabei bewegt sich das Buch meist eher in ersterem Bereich. Die Schritt-für-Schritt-Vorgehensweise animiert zum Ausprobieren und Nachvollziehen - schade, daß die Buchbeispiele anhand eines Windowssystems gestaltet sind, für welche es selbstredend keine virtuelle Maschine zum Herunterladen geben kann. Das Ausprobieren ist von den Autoren dennoch vorbereitet: Für die eigenen Experimente haben sie das VM-Ware-Image Metasploitable ins Netz gestellt - für Experimente hiermit gibt es ein Kapitel mit Tipps zur Vorgehensweise.

Weiterlesen

September 01 2011

05:04

LVM-Partition verschieben, LUKS-Partitionen vergrößern

Ich habe mir erfolgreich meinen Laptop verkonfiguriert. Anfangs war da nur eine Windows-Installation (*cough*) 'drauf, dann kam ein provisorisches Linux hinzu. Inzwischen arbeite ich fast ausschließlich unter Linux, deshalb habe ich die Windows-Partition deutlich verkleinert. Zwei Probleme gab es zu lösen: Der freie Platz mußte LVM zugeschlagen werden, und die darin befindlichen (mit LUKS verschlüsselten) Partitionen mußten vergrößert werden.

Weiterlesen

July 14 2011

08:57

Software Assurance Maturity Model (SAMM)

A guide to building security into software development
Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl