Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

Sicheres Löschen von Solid-State-Festplatten

Von Sebastian Klipper gepostet am 26. April 2010

Es ist eigentlich nichts Neues, dass Techniker etwas tolles erfinden, alle ganz begeistert sind und dann die Security-Leute den ganzen Spaß verderben. So war das auch schon beim IPS. Sie wissen nicht, was IPS ist? Intelligent Protection System? Internet Protokoll Suite? Intrusion Prevention System? Keine schlechten Ideen. Die Bedeutung die ich meine, lautet jedoch In-Plane-Switching. Ein Fachbegriff, der, für den Fall das man ihn nicht versteht, zumindest bestens geeignet ist um damit anzugeben – Rückfragen praktisch ausgeschlossen. Selbst Wikipedia weiß erst nach einigem Suchen Rat.

Wie dem auch sei. Unter anderem IPS führt dazu, dass ihr Bildschirminhalt auch mit einem ungünstigen Winkel zum Gerät gut lesbar bleibt. Ja und genau das gefällt den Security-Leuten ja nicht, weshalb sie mit Polarisationsfilter-Folien die technischen Errungenschaften in Sachen Flüssigkristallbildschirme zunichte machen und u.a. die sogenannte Blickwinkelabhängigkeit des Kontrastes, die durch das IPS verbessert wird, in die Steinzeit zurückversetzen. Einfach auf den Bildschirm stecken und schon ist in Sachen Blickwinkel wieder alles beim Alten. Wie in den guten, alten 286er-Zeiten.*

Im Moment sind sogenannte Solid-State-Festplatten im Vormarsch. Vom Wort her scheinbar das visionäre Gegenteil zu Cloud-Speicherplatz. Auch das ist übrigens so eine Errungenschaft, die den Security-Leuten keinen richtigen Spaß machen will (Top Cloud Security Threats Research Report und ISACA: Cloud Computing Risiken überwiegen die Vorteile ). Aber zurück zu den Solid-State-Festplatten: Was soll an denen problematisch sein?

Grundsätzlich ist es bei diesen Speichern leider nicht möglich, gezielt Blöcke auf dem Speicher zu überschreiben, aber genau darum geht es beim sicheren Löschen einer Datei. Gewissermaßen hat das Betriebssystem keine Ahnung, wo die Solid-State-Platte die Daten hinschreibt, und wo nicht. Ein Problem, dass es ähnlich übrigens u.A. auch bei NTFS-Laufwerken gibt. Weder Tools wie wipe oder shred funktionieren mit diesen Platten, wenn man nur einzelne Dateien löschen möchte. Das Überschreiben bringt dann nicht viel, auch wenn man es 35 Mal macht. Es sei denn, man tut es mit der gesamten Platte, die man ohnehin besser komplett verschlüsseln sollte.USB-Sticks sind übrigens auch Solid-State-Speicher. Es gilt also: Wenn schon Löschen, dann den gesamten Speicher!

Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

43 Mal bei Street-View: Weltrekord!

Von Sebastian Klipper gepostet am 26. April 2010

Spiegel Online berichtet von Wendy, der 43-fachen. Wendy Southgate ist damit Weltrekordhalterin: Kein Mensch ist öfter auf  Google Street-View zu sehen. Sie fühlte sich von dem Kamerawagen offensichtlich verfolgt; da hilft auch nicht, dass ein Streifenwagen mit auf den Bildern ist:

“Ich wusste nicht, was der machte”, sagte sie der Sun, “der fuhr einfach sehr, sehr langsam herum.”

Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

McAfee macht Windows-PCs unbenutzbar

Von Sebastian Klipper gepostet am 22. April 2010

Wegen eines fehlerhaften Signatur-Updates hat die Antivirensoftware von McAfee gestern unter Windows XP SP3 die Systemdatei SVCHOST.EXE als Schädling W32/Wecorl.a erkannt. Das berichtete Heise in einem Beitrag. Windows versucht anschließend, den PC neu zu starten und das als Endlosschleife im 30-Sekunden-Takt. McAfee hat zwar mittlerweile eine Datei bereit gestellt, die den PC automatisch repariert, schön ist das aber trotzdem nicht, weil es vor Ort erledigt werden muss – meinen herzlichen Glückwunsch an die betroffenen Admins!

Bei einer Katastrophenübung in Iowa fielen deshalb sogar die Computer und die Kommunikation der Notrufzentrale aus. Daraufhin mussten die Teams auf ihr altes Funksystem zurückgreifen. Halt ‘ne Notfall-Übung…

Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

OWASP Top 10 Liste aktualisiert

Von Sebastian Klipper gepostet am 21. April 2010

Am 19 April wurde die OWASP Top 10 Liste 2010 veröffentlicht. Das Open Web Application Security Project (OWASP) ist eine gemeinnützige Organisation zur Verbesserung der Sicherheit in Anwendungen. Die Liste enthält die 10 wichtigsten Risiken bei der Programmierung von Web-Anwendungen:

  • A1: Injection
  • A2: Cross-Site Scripting (XSS)
  • A3: Broken Authentication and Session Management
  • A4: Insecure Direct Object References
  • A5: Cross-Site Request Forgery (CSRF)
  • A6: Security Misconfiguration
  • A7: Insecure Cryptographic Storage
  • A8: Failure to Restrict URL Access
  • A9: Insufficient Transport Layer Protection
  • A10: Unvalidated Redirects and Forwards

Weitere Informationen finden Sie in der zugehörigen Pressemitteilung.

Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

Schlechte Nachrichten für neugierige Nachbarn

Von Sebastian Klipper gepostet am 20. April 2010

Nach dem am Freitag veröffentlichten Urteil des Bundesgerichtshofs (BGH) in Karlsruhe dürfen Nachbarn mit ihren Überwachungskameras nicht zum Big Brother werden. Damit ist der Einsatz von Videokameras auf das eigene Grundstück begrenzt.  Weder Nachbarn noch Mieter müssen sich zu viel Neugier gefallen lassen: Bereits der begründete Verdacht auf Observierung reicht aus. Mehr dazu berichtet die Frankfurter Rundschau.

Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

Big-Brother-Schule vor Gericht

Von Sebastian Klipper gepostet am 19. April 2010

Mitte Februar hatte ich bereits berichtet: Schule soll Schüler zu Hause über deren Webcams ausspioniert haben. Jetzt wird der Fall vor Gericht verhandelt und dementsprechend werden erste Details bekannt. Wie The Register berichtet, wurden mit einer speziellen Software tausende von Bildern aufgenommen. Die Schüler seien demnach beim Schlafen oder sogar nur teilweise bekleidet aufgenommen worden. Die verwendete Software diene den Angaben zufolge eigentlich zum wieder Auffinden gestohlener Laptops.

Die Schule indes verteidigt sich: Die Familie des Opfers habe die Police der Diebstahlversicherung nicht bezahlt; der Schüler habe das schuleigene Gerät also unerlaubt mit nach Hause genommen. Außerdem seien die Bilder von der Schule nicht zweckentfremdet worden. Kaum zu glauben.

Berichten Sie über diesen Beitrag via Twitter oder Xing. 2 Kommentare

Erste Leserstimmen

Von Sebastian Klipper gepostet am 17. April 2010

Die ersten Verkaufswochen meines Buchs “Konfliktmanagement für Sicherheitsprofis” sind vorüber und es wird Zeit, die ersten Leserstimmen zu präsentieren. Der ehemalige Stellvertreter des Bundesbeauftragten für den Datenschutz schreibt im Datenschutzforum des BFDI, dass das Buch eine Seite des Berufs des Datenschutzbeauftragten untersucht, die “verdammt wichtig” ist:

“Ich finde, das Buch hilft hier wirklich weiter.”

Ein anderer Leser empfiehlt das Buch als “Standardlektüre” in der Security-Ausbildung und ist von dem Buch auch sonst “ganz begeistert”:

“Es ist wirklich mal ein Buch, das die Ängste, Sorgen und Nöte der IT-SiBe beschreibt.”

Der erste Rezensent auf Amazon schreibt, er habe “selten so ein kompaktes, klares und gut verständliches” Buch gelesen, “welches die Problembereiche von Sicherheitsexperten beschreibt”. Er zieht das Fazit:

“Ein durchweg gelungenes Werk.”

Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

Lackierte Pistolen

Von Sebastian Klipper gepostet am 16. April 2010

Old-School oder Next Generation? Diese Frage hatte ich in letzter Zeit ein paar Mal gestellt und dabei offensichtlich übersehen, dass sich die Old-School offensichtlich das eine oder andere Update gönnt, wie man heute bei Bruce Schneier lesen kann.

Auf dem Bild sehen Sie übrigens eine 45er Colt – eine echte. Sie wurde nur bunt angemalt, damit sie wie eine Spielzeugpistole aussieht. Auf der Webseite publicintelligence.net wurde jetzt ein interner Bericht des Baltimore Police Department aus dem Jahr 2008 veröffentlicht, in dem auch automatische Waffen in Spielzeugtarnung zu sehen sind. Bereits 2006 beschäftigte sich der New Yorker Bürgermeister Bloomberg mit dem Problem.

Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

Schulung: Gekonnt durch heikle Projekte

Von Sebastian Klipper gepostet am 12. April 2010

Wir befinden uns in einer Welt, in der der Druck auf den einzelnen steigt und enge Terminpläne den Tagesablauf bestimmen. In diesem Umfeld werden auch in der IT-Branche Soft-Skills immer wichtiger und nicht mehr nur die fachlichen Fähigkeiten entscheiden über den Erfolg. Die “Kopfnoten” rücken immer stärker in den Vordergrund.

Unter dem Motto “Gekonnt durch heikle Projekte” bietet Ihnen ψ² die Möglichkeit, sich dieser Herausforderung zu stellen. Erarbeiten Sie sich mit meinem eintägigen Seminar wichtige kommunikative und soziale Fähigkeiten, um Ihrer Konkurrenz den entscheidenden Schritt voraus zu sein (nächster öffentlicher Termin: 06.05.2010 in Neuss). Das speziell auf die Bedürfnisse und Probleme in der IT-Branche ausgerichtete Programm veranschaulicht, wie Sie schwierige Herausforderungen meistern. Werden Sie unverzichtbar durch Persönlichkeit und soziale Kompetenz.

Das eintägige Seminar findet in Zusammenarbeit mit der XING-Ambassador-GruppeIT-Connection” und der secopan UG statt und ist auch für nicht XING-Mitglieder zugänglich. Weitere Details und Anmeldeinformationen finden Sie auf der Event-Detailseite:

Lesen Sie den vollständigen Beitrag “Schulung: Gekonnt durch heikle Projekte” →

Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

“Unterm Strich”: 14. Kalenderwoche

Von Sebastian Klipper gepostet am 11. April 2010

Was war diese Woche?

In der Kolumne Unterm Strich werfe ich ein Highlight auf die News und Schlagzeilen der vergangenen Woche. Natürlich kann dabei niemals ein vollständiges Bild gezeichnet werden, aber es entsteht hoffentlich ein gewisser Überblick.

Interne Links zum Blog sind mit einem ” ” gekennzeichnet. Externe Links werden durch ein ” ” hervorgehoben.

Updates:

Mittwoch: Offizieller Workaround von Adobe für PDF-Lücke
Mittwoch: Verwaistes Root-Zertifikat in Mozilla sorgt für Verwirrung
Donnerstag: Updates für 25 Schwachstellen in Windows, Office und Exchange
Freitag: Adobe führt automatisches Update für Reader ein
Freitag: Microsoft will endlich VBScript-Lücke im Internet Explorer schließen
Freitag: Remote Command Execution in TYPO3

Schwachstellen und Angriffe:

Freitag: Hunderte WordPress Blogs von ‘Networkads.net’ Hack betroffen
Freitag: Java-Exploit startet lokale Windows-Anwendungen
Samstag: Erneut Facebook Exploit veröffentlicht

Kriminalität, Strafverfolgung und Recht:

Sonntag: Schon wieder Überfall auf Casino – diesmal Lyon
Dienstag: Shadowserver Foundation deckt Cyber-Spionage aus China auf
Mittwoch: 100.000$ vom Konto einer Kleinstadt

Whitepapers und Veröffentlichungen:

Montag: Forrester: Falsche Bemessung der IT-Security Budgets
Mittwoch: Forrester: Outsourcing von Security macht Services sicherer
Donnerstag: ISACA: Cloud Computing Risiken überwiegen die Vorteile
Freitag: Emnid-Umfrage: Deutsche misstrauen Unternehmen in Sachen Datenschutz

Sonstiges:

Freitag: Entschlüsselung des US-Hubschrauber-Videos von Wikileaks