Diese Frage wurde Walter Sprenger, Geschäftsführer von Compass Security gestellt. Sind E-Mails sicher? Wer und unter welchen Umständen kann ein Angreifer den Inhalt einer unverschlüsselter Mail mitlesen?

Hier die Antwort von Walter Sprenger als PDF zusammengefasst.

Grüsse
Ivan

Wie entwickeln sich Programmiersprachen? In welche Technologie soll man investieren? Diese Frage ist interessant für IT Spezialisten um ein gesuchter Mann im Markt zu sein und zum anderen Unternehmen welche professionelle Software anbieten um strategisch auf die richtige Technologie zu setzen.

1. Java
2. C
3. PHP
4. C++
5. (Visual) Basic
6. C#
7. Python

Referenz zur Rangliste von TIOBE:
http://www.tiobe.com/index.php/content/paperinfo/tpci/index.html

Grüsse
Ivan Buetler

Wenn man Sharepoint als CMS (Content Management System) versteht, dann ist es mehr als logisch, dass man auch HTML und Java Scripts Dateien verwalten und hochladen kann. Die Hacktics Security Gruppe macht in ihrem Advisory auf eine persistente XSS Sicherheitslücke aufmerksam,  die gemäss den Nachforschungen von Hacktics von Microsoft nicht gepatcht werden kann. Es gibt jedoch einen Workaround...

Wer sich mit Sharepoint beschäftigt, dem empfehle ich das Mail an Bugtraq zu lesen. Habe es als PDF abgelegt.

http://www.hacking-lab.com/misc/downloads/xss_sharepoint.pdf

Grüsse aus Bern
Ivan

Das Team von Compass Security AG führt regelmässig interne Hack-Labs durch wo wir uns über neue Technologien und Angriffe unterhalten. Mitunter war dabei auch eine unveröffentliche Schwachstelle zu Google Wave dabei, die wir uns etwas genauer anschauten. Grundsätzlich geht es dabei darum, dass man mit Google Wave über Gadgets Java Scripte laden kann (die auch böse sein können). Das ist aber nicht weiter tragisch, denn die Scripte werden von einer fremden Domain bei Google gehostet und können deshalb nicht auf die Kerndomain von Google zugreifen.

Der Punkt hat auch ha.ckers.org aufgegriffen und in einem Blog Eintrag analysiert. Als ich heute aber die Seite nochmals durchgesehen habe ist mir aufgefallen, dass eine echte XSS Sicherheitslücke via neu angekündigten Google Buzz entdeckt wurde, die auf der Kerndomain von Google läuft. Wird Buzz wirklich die Macht von Facebook und Twitter brechen? Ich bezweifle es.

http://ha.ckers.org/blog/20100216/google-buzz-security-flaw/

Der Text im Advisory ist etwas Google-feindlich.

Grüsse
Ivan

"Security-Database provides a continuous IT vulnerability feed based on open security standards for classification, scoring, enumeration and exploitation. It also provides a well maintained repository for latest security and auditing tools and utilities including reports".

I like their concurrently updated reports and incident stories.

Latest Incidents
http://datalossdb.org/latest_incidents

Incident Statistics
http://datalossdb.org/statistics

Incident Reports
http://datalossdb.org/reports

This is valuable information.

Alternative Link:
http://www.security-database.com

Have a safe day
E1

Marco Di Filippo, unser Regional Germany Manager hat an der MCTA Konferenz in Berlin einen 4 Stunden Workshop zum Thema Mobile Security gehalten. Der Vortrag hatte folgende Themen:

* Locating / Positioning (GSM Ortung)
* Locating of any GSM owner (without secret service help)
* Eavesdropping Telefone Calls
* Mobile Device Trojans and Viruses (Observation)
* ID Spoofing
* Bluetooth Hacking
* Early Media Stream Vulnerability

Die 8MB grosse PDF Datei (German) ist frei verfügbar. Insbesondere NEU ist die Tatsache, dass man auch in der Schweiz jedes Handy ohne Zusatzausrüstung lokalisieren kann (Tracking).

Grüsse
E1

Als Aspirant für den Vorstand in der Information Security Society Switzerland (ISSS) habe ich zusammen mit Lukas Ruf die St.Galler Tagung am 29. April 2010 organisiert. Diese hat das Thema "Cyber Crime und die Schweiz" und ich denke es ist ein sehr ansprechendes Programm (kostenlos) zusammen gestellt worden.

17:30 - 17:40		Begrüssung Dr. Lukas Ruf, Consecom AG
17:40 - 18:15		Cyber Crime und die Schweiz Marc Henauer, FEDPOL/KOBIK
18:15 - 18:50		European Cyber Crime Convention Lic. iur. Fürsprech Beat Lehmann, Lehrbeauftragter Uni Zürich für Informatikrecht
18:50 - 19:00		Pause
19:00 - 19:35		Cyber Underground Ivan Bütler, Compass Security AG
19:35 - 20:10		Google's Anti-Phishing/Anti-Malware Efforts Noé Lutz, SafeBrowsing Team, Google Inc., USA
20:10 - 20:15		Abschluss der Tagung Dr. Thomas Dübendorfer, Präsident ISSS
20:15 - ca. 20:45		Apéro

Würde mich freuen wenn ich einige Blog Leser begrüssen könnte.

Anmeldung unter: http://www.isss.ch/veranstaltungen/2010/st-galler-tagung/

Grüsse
Ivan Bütler
E1

Der Einsatz von Firefox Plugins als kleine Helferlein für das tägliche Surfen hat sich zumindest bei mir fest etabliert. Doch wie gut prüfe ich jeweils die Qualität der Plugins? Können die Plugins Schadsoftware enthalten?

Um diese Frage zu erörtern habe ich einen kleinen Movie erstellt der zeigt, wie einfach ein Plugin in ein Observation Plugin verändert werden kann.

Meine Empfehlung ist deshalb, Webseiten die eine erhöhte Vertraulichkeit verlangen mit reduzierten Firefox Instanzen zu besuchen. Dies kann man mit Firefox Profilen erreichen, indem man beispielsweise ein Profile ohne jegliche Plugins und Add-Ons erstellt. Um den Profil Manager von Firefox zu starten gebe man folgenden Befehl ein

firefox -P

Ansonsten hilft der Film weiter. Dieser kann auf http://www.hacking-lab.com/download geschaut werden.

Grüsse
E1

Dear Blog Reader,

I love open source software and I could not live without Apache, Tomcat, MySQL and others. But what about the trust I have to give into this software components? Today, I got another sense of disappointment because a backdoor was found in a recent PHP application.


============ BACKDOOR class2.php, line: 1876 ============


============ BACKDOOR class2.php, line: 1876 ============

How do you evaluate the trust level of open source software?

Regards
Ivan

Reference: Bugtraq by Bogdan Calin - Mon 1/25/2010 11:59 AM

Facebook is becoming more and more a target for security researchers. Today I read the bugtraq posting from Quaji about CSID (dubbed Cross Site Identification) attack where an attacker page could gain a victim's Facebook friend list if the user is concurrently authenticated in Facebook and visiting the malicious page.

http://blog.quaji.com/2009/12/out-of-context-information-disclosure.html

The issue is rather complex and long and therefore I give my best to shorten the story for you.

Facebook has some kind of SSO (single-sign functionality). This is extremely useful when you are building your own Facebook applications on apps.facebook.com. The Facebook applications on apps.facebook.com inherit the user principle in certain situations and this is the attack vector exploited in Quaji's advisory. For Facebook, this is a feature for enabling single-sign on. For the researchers it is a vulnerability because everyone can register and write applications on apps.facebook.com.

The flash video presented by Quaji shows how the user is concurrently authenticated in Facebook and a malicious page. When the page is loaded by the user, an image tag loads the image and after some redirects, the final image is delivered by the malicious page and the principle information, containing userID, friends and more is seen in the attackers malicious web site log.

In other words - in some cases Facebook acts as proxy and requests the requested resource on behalf of the user. This requests could contain the Facebook principle - not in all, but in certain cases.

What can we learn from this posting and video? The same we know from the e-banking situation. Don't visit your e-banking server concurrently while you are visiting other internet pages. Do your business in single browser instances and deny tabbed browsing for your own security.

Have a safe day

Ivan