17. Dezember 2007
Infinity Exists hat ein paar „Full Disclosure“ Videos gepostet, die typische Hacking-Themen abdecken. Die Videos findet man entweder bei YouTube oder direkt zum Download bei Infinity Exists. Nichts so wirklich neues spektakuläres aber trotzdem nicht schlecht. Es zeigt vor allem, wie gut und einfach die Tools inzwischen zu bedienen sind.
Ich hab sie schon mal auf meine Platte gezogen, anschauen kann ich sie mir in nächster Zeit immer noch.
So Videos scheinen übrigens langsam beliebt zu werden. In der Certified Ethical Hacker Schulung sind Videos dabei, ein Verlag ist bezüglich eines solchen Projekts auch schon auf mich zugekommen.
(mal wieder via Security4All)
16. Dezember 2007
Eine Folge des schwachsinnigen § 202c, den wir unserer inkompetenten Bundesregierung, insbesondere dem paranoiden Innenminister und der noch unfähigeren Justizministerin verdanken: Wichtige Sicherheitsprogramme sind in Deutschland nicht mehr zu bekommen. Beispielsweise Core Impact:
Hi Christian,
Per the new German law, we are unable to sell to German consulting
companies.
Best regards,
Eric Marhafer
Account Executive
Core Security Technologies
Danke, Ihr unfähigen Minister. Ihr ruiniert gerade den deutschen Mittelstand mit Eurer gesammelten Inkompetenz!
Nur eine kurze Linksammlung …
die kommerziellen Pakete
lasse ich mal außen vor. Weitere Tools? SecurityForest hat auch nicht mehr.
15. Dezember 2007
An der Hacking Front tut sich mal wieder etwas neues. Max, Muts, Martin und Co. haben die erste Beta der BackTrack 3 veröffentlicht.
Die Gegenseite rüstet jedoch ebenfalls auf. Als aktuelle Forensic Software wird die Deft Computer Forensics Version 3 zum Download angeboten.
Na gut, dann müssen wir halt wieder ein paar Schulungsunterlagen und Screenshots aktualisieren und uns in ein paar neue Tools einarbeiten. Zum Glück ist gerade Jahresende, der Chaos Communication Congress ist auch, da kann man sich in Ruhe über das Thema austauschen.
(via Securit4all, hier und hier)
Das F-Secure Forum gestern wurde ja hauptsächlich deshalb kompromittiert, weil der Administrator übersehen hat, dass ein sicherheitsrelevantes Update vorhanden war. Das kommt öfter vor, besonders wenn der Hersteller der Software versucht, seine Fehler möglichst zu vertuschen. Normalerweise sind wir das ja z.B. von Microsoft gewohnt.
Seit Apple den Bereich des Nischenherstellers verlassen und ebenfalls in den Massenmarkt eingestiegen ist, sieht es bei Apple leider nicht besser aus.
Ich frage mich ja, was hoffen die Hersteller dadurch zu gewinnen? Schlechte Presse vermeiden? Die ist ihnen eher sicher, wenn sie Lücken verstecken wollen. Siehe Firefox und Internet Explorer. Schlechte Blogeinträge von diesem Komiker Jeff Jones vermeiden? Dem ist es doch egal, was der Wahrheit entspricht und wie ein Hersteller mit Sicherheitslücken umgeht, der ist vollständig merkbefreit.
Wie man proaktiv mit Lücken umgehen kann machen uns Hersteller wie F-Secure vor.
14. Dezember 2007
Tja, so ein Defacement kommt in den besten Familien vor. Meistens wie hier auch, ist ein Fehler in der Forensoftware schuld. Ich warte ja darauf, dass mein WordPress auch irgendwann kompromittiert wird 🙂
13. Dezember 2007
Intel vPro ist Intels Marketingname für ein paar Technologien, die zusammen mehr oder weniger effiziente Virtualisierung ermöglichen. VMWare hat diese Technologien seit Jahren in Software implementiert. Trotzdem gibt es ein paar Möglichkeiten wie virtuelle Appliances, die durch vPro eine höhere Sicherheit erreichen können (wenn das leidige Microsoft-Lizenzthema nicht wäre).
Jetzt ist VMWare auf den Zug aufgesprungen und bietet die Möglichkeit, virtuelle VMWare-Maschinen innerhalb kürzester Zeit auf vPro umzusetzen. Ich bin gespannt, wann es die ersten brauchbaren Produkte gibt.
12. Dezember 2007
Das Handbuch of Applied Cryptography von Alfred J. Menezes, Paul C. van Oorschot und Scott A. Vanstone, erschienen bei CRC Press (ISBN 0-8493-8523-7) wird in der 5. Auflage (2001) auch zum Download (PDF und PS) angeboten.
„CRC Press has generously given us permission to make all chapters available for free download.“
und weiter
„Permission is granted to retrieve, print and store a single copy of this chapter for personal use. This permission does not extend to binding multiple chapters of the book, photocopying or producing copies for other than personal use of the person creating the copy, or making electronic copies available for retrieval by others without prior permission in writing from CRC Press.“
Na gut, das Buch neu drucken und binden lassen ist nicht zulässig. Und auch wenn aktuelle Algorithmen wie AES noch nicht behandelt werden, gehört das Buch in jede Sammlung von Online-Büchern.
11. Dezember 2007
Die Check Point Zertifizierungen gehen mir langsam auf die Nerven … alle paar Jahre wieder den ganzen Krampf. Hab deshalb heute noch schnell zum Jahresende was gemacht. Was bin ich jetzt alles:
- CCSA NGX
- CCSE NGX
- CCSE PLUS NGX
- CCMSE NGX
und was fehlt mir noch alles:
- CCMSE NGX PLUS VSX
- CPCS Connectra
- CPCS Integrity
- CPCS IPS-1
Den VSX mach ich zum Jahresende noch schnell aber der Rest hat Zeit bis nächstes Jahr.
Ich stell mir grad vor, die das auf einer Visitenkarte aussehen würde. Die Amis drucken da doch jeden Blödsinn drauf. Ich schreibe dagegen bei mir weder Dipl.-Inf. noch CISSP drauf, das ist mir echt zu doof 🙂
