Hi all,
Today we have published the Swiss Cyber Storm podcasts to the net. It is our first experience with podcasts at all. Find all our talks and speeches online.

Visit www.hacking-lab.com

Kind regards
E1

Heute ist Freitag der 17. April 2009. Noch 1 Tag und Swiss Cyber Storm II beginnt! Ich freue mich sehr, denn es haben sich über 230 Teilnehmer auf www.hacking-lab.com registriert. Man kann als Besucher sowohl kostenlos an den Vorträgen, oder für einen kleinen Unkostenbeitrag an den Wargames teilnehmen. Dem Gewinner winkt ein Barpreis von CHF 1000.-- Es gibt aber noch viel mehr zu sehen; Lock-Picking (mit Dietrich ein Schloss knacken), Windows 7 Fragen, Tipps und Tipps für die Bevölkerung oder die Teilnahme am MasterMind Quiz.

Welche Vorträge sind von besonderem Interesse?

• Vortrag Melani zu Analyse Torpig E-Banking Trojaner
• Vortrag Roman Hüssy zu abuse.ch und Flust/FastFlux
• Vortrag Alexander Kornbrust zu Oracle Security
• Vortrag Candid Wüest zu Anti-Viren Secrets
• Vortrag Andreas Steffen zu VPN mit StrongSwan und Windows 7
• Vortrag Marco Di Filippo zum Hackerparagraph 202c
• Vortrag Christian Kendi zu ZFS
• Vortrag Christian Mäder zur Sicherheit bei der Raiffeisen E-Bank
• Vortrag Beat Lehmann zur legalen Seite
• Diverse Vorträge zu Wargame Cases, Observation Plugin, DECT Hacking ...

Wir sehen uns. Have a safe day

Ivan

Klaut ein Dieb meine Brieftasche und liegt darin eine Bankkarte, so ist diese weiterhin gegen die Nutzung geschützt, weil der PIN die Karte absichert. Wenn man den falschen PIN dreimal falsch eintippt bleibt die Karte gesperrt. Hacker hätten nun einen Weg gefunden, den man lange für akademisch hielt, mit welchem man auch verschlüsselte PIN's der Karten knacken kann. Das ganze ist zurzeit als Hype zu betrachten und genauere Analysen werden folgen.

http://blog.wired.com/27bstroke6/2009/04/pins.html

Grundsätzlich geht der Angriff davon aus, dass es unsichere HSM (Hardware Security Modules) gibt, welche für die Prüfung des PIN's benüzt werden. Der Angreifer überlistet ein HSM derart, dass er die Encryption Key's für die Validierung herausgibt. Die Sicherheit ist danach natürlich nicht mehr gegeben.

Die PCI berät zurzeit und überlegt sich adäquate Massnahmen.

Im 2006 wurde das Thema das erste mal beleuchtet

http://blog.wired.com/27bstroke6/files/Steel-tcs06.pdf


Grüsse
Ivan

An der CeBIT haben wir vom BSI ein super Dokument zur Lage der Nation und Prognose in die Zukunft erhalten. Ich habe das Dokument zurück in die Firma genommen und vor allem die drei hinteresten Seiten mit den Trends dem Compass Team vorgestellt. Wollen Sie auch wissen was das BSI über die Gefahr im Internet denkt und welche Angriffe im 2009/2010 vermehrt, gleichbleibend oder vermindert auftreten? Dann empfehle ich Ihnen mindestens die Seiten 69-72 der BSI Studie zu lesen. Gute Qualität!

Gruss
E1

Link: BSI Studie http://www.bsi.de/literat/lagebericht/Lagebericht2009.pdf

OWASP hat heute den neuen Code Review Guide V1.1 herausgegeben. Habe das PDF heruntergeladen und ein wenig darin geschmöckert. Sieht recht gut aus das Teil. Werde es auf alle Fälle noch durchlesen...

GUIDE PDF: http://www.lulu.com/content/5678680

Gruss
E1

"Original Announcement"

The Open Web Application Security Project (OWASP) today announced the official release of the free OWASP Security Code Review Guide v1.1. The Code Review Guide provides details on how to review code for all sorts of application vulnerabilities.

Firefox gibt es ab heute in der Version 3.0.8. Am CanSecWest Pwn2Own Wettbewerb hat ein junger Informatiker mit dem Namen "Nils" die Zero-Day Sicherheitslücke in XUL für das Gewinnen des Wettbewerb benützt.

Interessanterweise gibt es den Exploit bereits im Internet.

http://www.mozilla.org/security/announce/2009/mfsa2009-13.html

Exploit Code von PacketstormSecurity

http://packetstormsecurity.org/0903-exploits/Firefox-XUL-0day-PoC.rar


Hmmmm..... ich frage mich warum der Exploit bereits im Umlauf ist? Sicherlich sind noch viele ältere FF im Einsatz.


E1