Inhalte überspringen »
Alle Topthemen
Dienstag, 3. August 2010
Am Anfang war der Trojaner: die kleine Geschichte der MS-Shortcut-Lücke
Microsoft hat am Montag außer der Reihe ein
Security Bulletin
samt Patches
veröffentlicht,
mit denen eine 0-Day-Schwachstelle behoben wird. Diese
Schwachstelle, oder genauer ihre Ausnutzung, hat eine kurze, aber bewegende
Geschichte hinter sich.
Am Anfang stand ein USB-Schädling
Am 15. Juli gab es
erste
Berichte
über eine mögliche neue 0-Day-Schwachstelle in Windows, die von einem sich
über …
Donnerstag, 8. Juli 2010
Heißer Juni: 0-Days, signierte Schädlinge, gefährliches Java
Die Sicherheit von Clients wurde im Juni durch 0-Day-Schwachstellen in
Adobes Flash Player, Adobe Reader und Acrobat sowie Microsofts Windows XP
und Server 2003 bedroht. Angriffe über Schwachstellen in Java haben
merklich zugenommen, außerdem wurde an eher exotischen Stellen
Schadsoftware gefunden.
0-Day-Schwachstelle in Flash Player, Adobe Reader und Acrobat
Adobe
warnte
am 4. …
Donnerstag, 13. Mai 2010
SAP kauft Sybase: mit eigener Datenbank gegen Oracle
SAP hat überraschend den Kauf von Sybase bekannt gegeben. Ganze 5,8 Milliarden Euro will das Walldorfer Unternehmen dafür auf den Tisch legen, finanziert aus Eigenmitteln sowie einem dreijährigen Kredit über 2,75 Milliarden Euro. In seiner Pressemitteilung betont das Unternehmen vor allem die Möglichkeit, in den Markt für mobile Anwendungen einzusteigen.
Allerdings verfügt …
Donnerstag, 22. April 2010
Microsoft zieht Update für MS10-025 zurück
Microsoft hat das Update für das in der vorigen Woche
veröffentlichte
kritische Security Bulletin
MS10-025
zurückgezogen, da es die Schwachstelle nicht korrekt behebt. Das Bulletin
wurde aktualisiert, Microsoft
weist darauf hin,
dass ggf. die vorgeschlagenen Workarounds durchgeführt werden sollten.
Das Bulletin betrifft nur Windows 2000 Server SP4 mit den Windows Media
Services. …
Dienstag, 2. März 2010
Die Allerleimesse CeBIT - Kommentar
Folgt man der medialen Berichterstattung, könnte man glauben, die CeBIT sei immer noch ein wichtiger Termin für die IT-Branche. Auch lassen die Fernsehbilder von Staats- und Regierungschefs, die alljährlich die Hannoveraner Computermesse eröffnen, das Publikum glauben, es handele sich um ein Ereignis von wahrem Weltrang. Wohl nur die Frankfurter Buchmesse und …
Freitag, 26. Februar 2010
IT an der Schwelle einer neuen Ära?
Wir stehen an der Schwelle einer neuen Ära: der Ära der "Sozialen Innovation" des Business!
Mit dieser pointierten These beginnt Nigel Fenwick, Analyst bei Forrester, seinen jüngsten Blogeintrag "The New Era Of Social Innovation", in dem er erläutert, warum soziale Innovationsnetzwerke in Zukunft entscheidend für den Erfolg oder Misserfolg eines Produkts/Projekts sein …
Dienstag, 16. Februar 2010
In fünf Schritten zum Agilen Unternehmen
Wer kennt nicht folgendes Szenario: Zur Optimierung von Unternehmensprozessen werden externe Consultants ins Unternehmen geholt, die die existierenden Unternehmensstrukturen und Workflows analysieren und Maßnahmen zu deren Verbesserung vorschlagen. Die Maßnahmen werden kurzfristig umgesetzt, bis man wieder an neue Grenzen stößt - oder, was vielleicht noch häufiger anzutreffen ist, bis jeder doch …
Donnerstag, 11. Februar 2010
About Security #242: Schwachstellen-Suche: DoS verhindern
Bei der Abwehr von DoS-Angriffen muss man in drei Schritten vorgehen:
Erstens muss man Maßnahmen ergreifen, um einen Angriff zu verhindern
oder abzuschwächen, zweitens muss man feststellen können, wenn
ein Angriff erfolgt, und drittens muss man Maßnahmen vorbereiten, die
im Falle eines Angriffs ergriffen werden können, um ihn zu beenden
oder abzuschwächen.
Angriffe vorab verhindern oder abschwächen
DoS-Angriffe …
Mittwoch, 10. Februar 2010
Patchday - Microsoft stopft 26 Schwachstellen
Am Februar-Patchday hat Microsoft wie
angekündigt
13 Security Bulletins (5 kritische, 7 wichtige, 1 moderates)
veröffentlicht,
mit denen insgesamt 26 Schwachstellen behoben werden. Nur eine davon, die
im Januar bekannt gewordene
Schwachstelle im #GP Trap Handler,
war zuvor öffentlich bekannt.
Außer den Security Bulletins wurde auch ein
Security Advisory
veröffentlicht, mit dem Workarounds …
Freitag, 5. Februar 2010
Warum sich Entwickler niemals auf eine Stelle als "Software-Architekt" bewerben sollten
Mr. Joe Hacker möchte vor allem eines: Hacken!
Nichts zu tun haben möchte Joe Hacker mit seinem gestressten, schlecht gelaunten Chef - also strebt er nicht nach einer Management-Position.
Nichts zu tun haben möchte Joe Hacker auch mit Krawatten, grauen Anzügen, langen Meetings, Investoren-Gesprächen - also wird Joe Hacker auch kein selbstständiges Unternehmen …
Mittwoch, 9. Dezember 2009
Patchday - Microsoft stopft 12 Schwachstellen, Adobe mindestens 7
Am Dezember-Patchday hat Microsoft wie
angekündigt
3 als kritisch und 3 als wichtig eingestufte Security Bulletins
veröffentlicht,
mit denen insgesamt 12 Schwachstellen behoben werden, darunter die Ende
November veröffentlichte
0-Day-Schwachstelle
im Internet Explorer. Von den restlichen 11 Schwachstellen war nur eine
weitere vor der Veröffentlichung der Security Bulletins
öffentlich
bekannt, alle anderen wurden …
Donnerstag, 3. Dezember 2009
Entwickler am Abgrund: Hohe psychische Gefährdung in der IT-Branche
In der IT-Branche herrscht eine besonders hohe psychische Gesundheitsbelastung vor, die zu einer zunehmenden Anzahl von Burnout-Syndromen, Depressionen, Panikattacken bis hin zu Suiziden geführt hat. Zu diesem Ergebnis kommt eine Studie des Forschungsprojekts DIWA-IT vom Münchner Institut für Sozialwissenschaftliche Forschung (ISF). Demnach seien hochqualifizierte Angestellte in IT-Unternehmen einem System permanenter Bewährung …
Mittwoch, 25. November 2009
Top 100 der europäischen Softwareunternehmen
In der jährlich von Truffle Capital erstellten Rangliste europäischer Softwareunternehmen ("Truffle 100 Europe") steht SAP mit großem Abstand an erster Stelle. Für das Ranking wurde die Höhe der im Jahr 2008 erzielten Umsätze aus der Softwareproduktion herangezogen, wobei SAP mit 11,5 Milliarden Euro vor den britischen Sage (1,36 Milliarden Euro) und …
Donnerstag, 19. November 2009
About Security #231: Schwachstellen-Suche: Authentifizierung - Implementierungsfehler (2)
Außer den in About Security
#230
beschriebenen Implementierungsfehlern in mehrstufigen
Authentifizierungssystemen gibt es weitere.
Falsche Frage
Um einmal z.B. über Phishing ausgespähte Zugangsdaten für
den Angreifer wertlos zu machen, erfordern manche mehrstufigen
Authentifizierungssysteme nach der Eingabe von Benutzername und Passwort
z.B. die Beantwortung einer von mehreren geheimen Fragen oder die Eingabe
bestimmter Zeichen …
Donnerstag, 12. November 2009
About Security #230: Schwachstellen-Suche: Authentifizierung - Implementierungsfehler
Auch ein gut entworfenes, theoretisch absolut sicheres
Authentifizierungssystem kann durch Implementierungsfehler unsicher werden.
Das können z.B. Informationslecks sein, eine Möglichkeit zum
direkten Umgehen des Authentifizierungssystems oder eine allgemeine
Schwächung des Systems.
Implementierungsfehler sind schwieriger zu finden als Designfehler wie ein
fehlender Schutz vor Brute-Force-Angriffen oder unsichere Regeln für
Passwörter. Daher ist eine allgemeine Beschreibung schwierig, …
Mittwoch, 11. November 2009
Patchday - Microsoft stopft 15 Schwachstellen, davon 8 in Excel
Am November-Patchday hat Microsoft wie
angekündigt
3 als kritisch und 3 als wichtig eingestufte Security Bulletins
veröffentlicht,
mit denen insgesamt 15 Schwachstellen behoben werden, davon allein 8 in
Excel. Alle Schwachstellen wurden Microsoft vertraulich gemeldet,
lediglich eine davon wurde danach noch anderweitig veröffentlicht.
Die kritischen Bulletins
MS09-063 - …
Donnerstag, 5. November 2009
About Security #229: Schwachstellen-Suche: Authentifizierung - Daten übertragen
Wie werden Zugangsdaten sicher übertragen? Für die Richtung vom
Benutzer zur Webanwendung nimmt man dafür SSL/TLS - aber was ist mit
der Übertragung der von der Webanwendung während der
Registrierung erzeugten Daten? Die müssen an den Benutzer
übermittelt werden, und das, ohne dass Unbefugte sie dabei zu sehen
bekommen.
In einem Intranet ist die sichere …
Donnerstag, 29. Oktober 2009
About Security #228: Schwachstellen-Suche: Authentifizierung - Vorhersagbares
Manche Webanwendungen erzeugen bei der Registrierung vorhersagbare
Benutzernamen und/oder Passwörter. Während die Gefahr eines
vorhersagbaren Passworts offensichtlich ist, ist ein vorhersagbarer
Benutzername zumindest auf den ersten Blick nicht gefährlich. Aber das
ist zumindest zum Teil ein Irrtum.
Vorhersagbare Benutzernamen
Manche Webanwendungen, bei denen die Benutzer ihren Benutzernamen nicht
selbst auswählen können, erzeugen …
Mittwoch, 28. Oktober 2009
SOA-Manifesto veröffentlicht
Am Freitag, den 23.10.2009 wurde in Rotterdam von einem internationalen Gremium aus 17 renommierten Experten der SOA-Community das SOA-Manifesto verabschiedet.
Das SOA-Manifesto ist nun unter www.soa-manifesto.org verfügbar und richtet sich an alle, die am Thema SOA interessiert sind. Absicht des Manifests und seiner Autoren ist es, auf Basis der Erfahrungen aus …
Donnerstag, 22. Oktober 2009
About Security #227: Schwachstellen-Suche: Authentifizierung - "Doppelte Benutzer"
Wie jedem klar sein dürfte und es auch schon in About Security
#226
beschrieben wurde, können mehrfach vergebene Benutzernamen zu
unerwarteten Reaktionen der Webanwendung führen. Darum müssen
Webanwendungen (sowie alle anderen Programme und Systeme, die Benutzernamen
verwenden) bei der Registrierung gewählte Benutzernamen daraufhin
prüfen, ob sie schon vorhanden sind oder nicht. Außer dem Fall
der absichtlich …