Kategorie-Archive: Security

37C3: Nix ist sicher, soviel ist sicher

Erinnert Ihr Euch an den Exploit für alle Arm-Prozessoren von Apple (also IPhones, IPads, MacBooks, …)? Damals wurde von Kapersky Mitarbeitern entdeckt, dass wohl fürs Debuggen entworfene Register des Prozessors als Backdoors genutzt werden konnten und ihre eigenen IPhones betroffen waren. Keine Sorge das Ding ist per Software mittlerweile gefixt. Also noch ein Grund ständig… Weiterlesen »

Hydra is back

Hydra ist mal wieder aktualisiert worden. Hab ich gar nicht mitbekommen. Am besten gefallen mir an der neuen Version die Kommentare: The Win32/Cywin binary release: — not anymore — Install cygwin from http://www.cygwin.com and compile it yourself. If you do not have cygwin installed – how do you think you will do proper securiy testing?… Weiterlesen »

Paranoia oder shred

Eins der Tools, dass ich immer wieder googlen muss, weil ich vergesse wie es heißt, ist shred. Ich brauche es ein zwei mal im Jahr. Meistens dann, wenn ich versehentlich ein wichtes File statt in meiner verschlüsselte Partition in einer unverschlüsselten Partition anlege oder sogar auf einen anderen Server lege (igit). Dafür ist dann shred… Weiterlesen »

OS Protection

Das CentOS Wiki ist immer eine Reise wert. Immer wieder entdeckt man interessante Seiten. So heute die „OS Protection“ Seite. Wirklich lesenswert und sicher auch für andere Linux Distributionen nützlich. Den Link merk ich mir!

sqlmap – ich bekomme Angst …

Heute habe ich bei Heise die Meldung über sqlmap gelesen. Da kann es einem richtig Angst werden. Das Tool hat ja so einiges drauf. Ich werde das sicher mal auf entsprechend präparierten einem eigenen Opfer ausprobieren.

FirewallBuilder – my home is my castle

Linux-Firewalls sind mächtig kompliziert. Das liegt primär an dem nicht einfachen IPTables. Die Parameter, Parameterreihenfolge und die damit verbundenen Möglichkeiten sind einfach unbegrenzt. Das macht es schwer für Menschen, die nicht ständig damit arbeiten. Die Konfigurationshilfen (z.B. Shorewall) die es für Linux gibt gehen zwar in die richtige Richtung, für mich aber nicht weit genug.… Weiterlesen »

OpenVAS der Nessus Nachfolger

Nachdem sich der Nessus Entwickler 2005 kaufen hat lassen war ich seither auf der Suche nach einem aktuellen Vulnerability Scanner. Endlich gibt’s wieder Licht am Tunnel. OpenVAS macht da weiter wo das freie Nessus aufgehört hat. Das Konzept bleibt das gleiche und auch der Client sieht noch gleich aus. Gefördert bzw. entwickelt wird das ganze… Weiterlesen »

Hoppla – Typo3 security warning …

Eben erhielt ich folgende eMail: ——————————————————- This is an important security warning. You are receiving it because your email address is registered on the TYPO3.org website. We have to inform you that an unauthorized person has gained administrative access to the TYPO3.org website. The offender had access to website user details including their passwords, and… Weiterlesen »

Monkeysphere: OpenPGP-PKI für SSH

Die Verwaltung von SSH Keys nervt. Das nervt beim User Keys genauso wie die Verwaltung von Hostskeys. Bei meinen Keys kopiere ich mir meinen privaten Key nur dann auf einen Server, wenn eine gewissen Schmerzgrenze erreicht ist. Auf Servern die ich zu verantworten haben bin ich – wenn ich ganz ehrlich bin – auch nicht… Weiterlesen »