Eigentlich war das jetzt kostenlos erhältliche e-Book “Analyzing Malicious PDF Files” als Kapitel für ein Buch geplant, dass jedoch vom Haupt-Autor abgebrochen wurde. Daher gibt es das e-Book jetzt als pdf-download. Ich wiederhole: PDF-DOWNLOAD.
Naja: es wird schon kein Trojaner oder so drin sein – und wenn doch, dann steht in dem pdf-File, wie man das herausfindet…
Wie Linux-community.de berichtet, ersetzt WordPress in Zukunft die Blogger-Platform Windows Live Spaces. Microsoft migriert dazu rund sieben Millionen Nutzer auf WordPress. Windows Live und WordPress haben gestern eine entsprechende Vereinbarung bekanntgegeben.
Mit diesem Hinweis begrüßte die Bahn heute die Kunden, die über das Online Buchungssystem Tickets kaufen wollten. Das System war in der Mittagszeit für mindestens 150 Minuten nicht erreichbar. Auch aktuell wird nur der Hinweis angezeigt. Wer Tickets kaufen will muss mit dem Schalter vorlieb nehmen.
Update 14:15:
Nach fast drei Stunden konnte ich mich wieder am Buchungssystem anmelden.
Technik allein ist angesichts der modernen Lebens- und Arbeitswelt mit ihrem immer freieren und unvorhersagbaren Kommunikationsverhalten zunehmend machtlos. Der Anwender muss einen Teil der Verantwortung selber tragen, aber dazu fehlt ihm heute meist noch das Wissen und Können. Mit dieser Herausforderung setzen sich Security-Awareness-Programme auseinander. Auf der secAware erfahren Sie, wie Sie schützenswerte Abläufe und Informationen erkennen und wie Sie die Menschen in Ihrer Organisation für deren Schutz aktivieren. Die 2. secAware findet am 29. und 30. September 2010 in Frankfurt am Main statt. Auch ich bin auf der Veranstaltung mit einem Vortrag vertreten. Mein Thema: “Sicherheitsziele erfolgreich kommunizieren”. Aus dem Flyer: Lesen Sie den vollständigen Beitrag “Awareness-Konferenz secAware in Frankfurt” →
Die security-zone ist die grösste, neutrale Plattform, der Schweiz, die sich seit 2004 ausschließlich dem Thema Informationssicherheit widmet. Rund 30 IT-Security-Anbieter zeigen, was der Markt neues an Produkten und Lösungen zu bieten hat. Am begleitenden Fachkongress referieren nationale und internationale Experten aus Wissenschaft, Hochschulen und Industrie. Dieses Jahr findet die security-zone am 22. und 23.09.2010 in Zürich statt. Rund 60 hochwertige Vorträge und Workshops decken alle wichtigen strategischen und operativen Themen der IT-Security ab.
Dieses Jahr bin ich auch mit einem Vortrag vertreten. Mein Thema: Unerlässliche Soft-Skills: Kommunikationskompetenz für Sicherheitsprofis:
“Menschliches Handeln oder Unterlassen ist Ursache oder zumindest Wegbereiter der meisten Sicherheitsvorfälle – der Mensch ist und bleibt Risikofaktor Nummer eins. Neben einer ganzen Menge an technischem Know-how bestimmen folgerichtig nicht zuletzt die “Soft-Skills” über Erfolg oder Misserfolg von IT-Sicherheitsbeauftragten, Datenschützern und Co.”
In meinem Vortrag stehen die Themen Risikokommunikation und Konfliktmanagement im Fokus. Neben Inhalten aus meinem ersten Buch “Konfliktmanagement für Sicherheitsprofis” werde ich auch auf Themen aus meinem neuen Buch “Infomation Security Risk Management” eingehen, dessen Manuskript seit wenigen Tagen fertiggestellt ist.
Wie der Security Consultant Marko Rogge berichtet, ermöglicht es ein Fehler bei ftd.de, kostenpflichtige Inhalte der Webseite kostenlos lesen zu können.Der betreffende Fehler tritt über die erfolgreiche Suche von Google auf, in dem man gezielt nach einem Artikel sucht. Beispiel wäre: “Fit in Schlips und Pumps”.
Anschließend findet sich bereits recht weit oben ein Artikel der Financial Times Deutschland, der genau diesen Titel hat. Die dort angezeigte URL zeigt die Inhalte für mobile Geräte an. Zudem muss man sich weder registieren noch muss man eine Zahlung dafür leisten. Schaut man sich nun den eigentlichen Artikel an, dann sieht man, dass dieser kostenpflichtig ist:
http://www.ftd.de/lifestyle/outofoffice/:buerosport-fit-in-schlips-und-pumps/339861.html
Um festzustellen, ob dies bei allen Artikeln so möglich ist, wirft man einen Blick in den Quellcode der Webseite und siehe da, die mobile, kostenlos lesbare Version wird bei allen Artikeln überliefert (fett):
try {
if (navigator.userAgent.search(/(...)/i) > -1) {
document.location.href='http://m.ftd.de/;special;svr=lifestyle/lifestyle/outofoffice/:buerosport-fit-in-schlips-und-pumps/339861.html?mode=simple';
}
} catch (e) {
}
Der Rest ist denkbar einfach, die mobile URL in den Browser kopieren und man umgeht die Registrierung sowie den Bereich kostenpflichtig auf Inhalte zugreifen zu können. Der Test ergab, dass dieser Umstand auf alle kostenpflichtigen Inhalte zutrifft.
Alternativ austauschbar für jede URL, anstelle www. zu Beginn durch ein m ersetzen und am Ende ?mode=simple eintragen.
Quelle:
Marko Rogge, 17.09.2010
“Fehler auf Financial Times Deutschland ermöglicht kostenloses lesen von kostenpflichtigen Inhalten.”
In der aktuellen Ausgabe 04/2010 von büro – Magazin für Office-Excellence finden Sie einen Artikel von mir, der sich wieder mit dem Thema Kommunikation auseinander setzt. Der Mensch ist und bleibt Risikofaktor Nummer eins.
Wenn Sicherheitsprofis nicht als die Spaßbremsen des Unternehmens dastehen wollen, wird kommunikative Kompetenz zur Schlüsselqualifikation. Wer es versäumt, klar und möglichst konfliktfrei zu kommunizieren, wird am Ende all die technischen Investitionen und Bemühungen ad absurdum führen.
Der Artikel ist einer von bisher drei Artikeln, die als Promotion für mein Buch “Konfliktmanagement für Sicherheitsprofis” dienen und trägt den Titel:
“Nicht der schon wieder!”
Schluss mit dem Kauderwelsch der IT-Sicherheitsbeauftragten
Am 23. Februar hatte ich berichtet, wie man gegen Google Street View Widerspruch einreichen kann und einen Musterbrief bereitgestellt. Am 18. August schließlich bekam ich eine E-Mail mit weiteren Anweisungen. Nun ist auch der Verifizierungscode eingetroffen (zum Lesen auf den Umschlag klicken):
Unter Berufung auf die spanische Tageszeitung El Pais berichtet Heise Online, dass möglicherweise ein Trojaner Mitschuld an dem Spanair-Absturz im August 2008 habe. Der Rechner habe die Aufgabe gehabt bei technischen Fehlern Alarm zu schlagen. Dieser Alarm sei durch den Trojaner möglicherweise verhindert worden. Die Maschine war auf dem Weg nach Gran Canaria kurz nach dem Start in Madrid abgestürzt. Dabei kamen 154 Menschen ums Leben, nur 18 überlebten. El Pais berichtete bereits im Mai, dass es bei dem Alarmsystem Probleme gegeben hatte.
In dem betroffenen System werden von Technikern Mängel eingetragen. Treten diese mehrfach nacheinander auf, schlägt das System Alarm. Bisher war unklar, warum das vor zwei Jahren nicht geschah.
Seit Freitag ist die Archivseite der DEF CON 18 online. Neben den Präsentationen und Whitepapers finden sich dort auch das Programm und viele andere Dateien als pdf-Datei zum Download. In den nächsten Tagen wird die Seite um weitere Dokumente und die ersten Videos ergänzt werden.
Ps(i)²™ und Sebastian Klipper (CISSP®, T.I.S.P.®) stehen für exzellentes Know-how und innovative Security- Management- Lösungen. Der Verfasser zahlreicher Fachartikel und Bücher arbeitet in Berlin als Unternehmensberater und Autor. Lernen Sie ihn bei einem seiner Vorträge persönlich kennen oder nutzen Sie eine der weiteren Kontaktmöglichkeiten.
Sie benötigen Unterstützung bei der Anwendung der Normenreihe ISO/IEC 27000? Oder möchten Sie in Ihrem Unternehmen lieber die BSI Standards anwenden?
Holen Sie sich das Know-how des "Klipper on Security"- Autors in Ihr nächstes Projekt. Erfahren Sie mehr über ψ² Security Consulting: ψ² = Ps(i)²
Von Sebastian Klipper
"Konfliktmanagement für Sicherheitsprofis"
Auswege aus der Buhmann-Falle für IT-Sicherheitsbeauftragte, Datenschützer und Co.
2010, Vieweg+Teubner-Verlag
Von Sebastian Klipper
"Information Security Risk Management"
Risikomanagement mit ISO/IEC 27001, 27005 und ISO/IEC 31010
2010, Vieweg+Teubner-Verlag
Ab 2011:
5 Themen für die Titelseiten von HAKIN9 und <kes>.
