Ethical Hacking

Was ist Ethical Hacking?

Ein Ethical Hacker greift ein System im Auftrag der Besitzer dieses Systems an um die Sicherheit des Systems zu prüfen.

Mit den Resultaten eines sogenannten Penetration Tests oder Pentest kann der Auftraggeber anschliessend die Sicherheit seiner Webserver und Webapplikation verbessern.

Zerberos mit Sitz in Zürich in der Schweiz bietet solche Penetrationstests an – so können Sicherheitslücken auf Webservern gefunden und behoben werden bevor böswillige Hacker diese ausnützen.

Falls bereits ein Hacker in ein System eingedrungen ist kann Zerberos dessen Spuren erfassen und nachvollziehen was auf dem System gemacht wurde – anschliessend kann das System neu aufgesetzt werden und die gefundenen Indizien ebenfalls für eine Verbesserung der Sicherheit verwendet werden.

Der Website Sicherheitstest empfiehlt sich auch immer dann wenn an der Webapplikation Änderungen gemacht wurden oder die Server Infrastruktur geändert wurde – in diesem Kontext können neue Lücken auftauchen die von bisherigen Sicherheitsprüfungen noch nicht erfasst wurden.

Kontaktieren Sie uns heute noch für eine unverbindliche Beratung!

Hacker

Das Wort „Hacker“ wird umgangssprachlich meist verwendet um jemanden zu bezeichnen der in fremde Computer oder Netzwerke eindringt.

„Hacker“ wird aber auch verwendet für Menschen die sich mit Computern überdurchschnittlich gut auskennen, Lösungen für Probleme im Zusammenhang mit Computern suchen und sich intensiv mit der Materie beschäftigen.

Im Bezug auf die Sicherheit von Netzwerken und Computern wird durch nähere Bestimmung in Bezug auf die Gesinnung unterschieden:

  • White Hat Hacker sind gesetztestreue Hacker
  • Black Hat Hacker handeln mit krimineller Energie
  • Grey Hat Hacker sind nicht eindeutig als gesetzestreu oder kriminell einzustufen

Zerberos (Zürich, Schweiz) beschäftigt ausschliesslich White Hat Hacker – diese „hacken“ im Auftrag der Kunden um die eigene Systeme wie Webserver und Netzwerke auf Sicherheitslücken zu prüfen.

Die während diesen Penetration Tests anfallenden Resultate oder Vulnerabilities werden verwendet um die Server, Applikationen und Netzwerke der Auftraggeber abzusichern.

Adobe: 2.9 Millionen Kundenkonten gehackt

Adobe teilte gestern mit dass Hacker Zugriff auf Server von Adobe erlangt haben

„Our investigation currently indicates that the attackers accessed Adobe customer IDs and encrypted passwords on our systems. We also believe the attackers removed from our systems certain information relating to 2.9 million Adobe customers, including customer names, encrypted credit or debit card numbers, expiration dates, and other information relating to customer orders.“

Adobe will nun diverse Massnahmen treffen wie z.B. das Zurücksetzen der Passwörter von betroffenen Kundenkonten.

Wieder einmal ein Beispiel dass die Grösse eines Unternehmens nichts über die Sicherheit der dort gespeicherten Daten aussagt – wir sehen auch immer wieder Infrastruktur bei Websitebetreibern mit bekannten Namen und Brands welche gravierende Sicherheitslücken aufweist.

Deshalb sollten alle über das Internet irgendwie zugänglichen Server sowie Webapplikationen und Webseiten regelmässig auf Sicherheit geprüft werden – ZERBEROS bietet entsprechende Dienstleistungen an.

>> Adobe Blogeintrag

 

NIST will Sicherheit von SHA-3 schwächen

Das National Institute for Standards and Technology (NIST) ist  in der Kritik: Die US-Behörde soll versuchen, die Sicherheit der kryptografischen Hashing-Funktion SHA-3 herabzusetzen, bevor diese als Standard etabliert ist. So jedenfalls sehen das einige Forscher. Sie beziehen sich dabei auf eine Präsentation, die NIST-Kryptologe John Kelsey im August auf dem CHES 2013 Workshop gehalten hatte. Kelsey hatte darin die Änderungen erläutert, die NIST am Keccak-Algorithmus vornehmen will, bevor dieser endgültig als SHA-3 standardisiert wird.

Sichere Hashverfahren werden insbesondere für digitale Signaturen und Integritätschecks von Software benötigt. Keccak war als Gewinner eines mehrjährigen Wettbewerbs unter NIST-Leitung hervorgegangen, der zum Ziel hatte, einen Nachfolger für SHA-2 zu finden. Hierbei war den Kryptologen vor allem wichtig, einen Algorithmus zu finden, der nicht auf dem Merkle–Damgård-Verfahren beruht und auf einer neuen mathematische Grundlage fußt. Als Teil der Standardisierung will NIST nun sowohl das Padding des Algorithmus ändern, als auch seine Funktion so anpassen, dass seine Arbeitsgeschwindigkeit erhöht wird. Auch sollen nur zwei Bitlängen standardisiert werden, also 128 und 256 Bit, anstatt der im Original vorgeschlagenen 224, 256, 384 und 512 Bit.

Ganzer Artikel

Quelle: heise.de

Two Factor Authentifizierung bei Paypal nicht immer aktiv

PayPals-Security-Key-More-Protection-for-Your-Account_1313514136719Wenn die 2 Faktoren Authentifizierung (Passwort + Pin oder Passwort + SMS) bei Paypal aktiv ist lässt Paypal trotzdem das Login via iPhone App ohne zweiten Faktor zu – die App fragt nur nach Passwort und Benutzernamen und bietet nicht einmal eine Eingabemöglichkeit für den PIN.

Als zweiter Faktor ist neben einer SMS auch ein Pin der von einem Hardware Gerät erzeugt wird verwendbar – diese Möglichkeit besteht seit zwei Jahren.

Wenn aber der Pin/TAN nicht zwingend ist macht die ganze Aktion keinen Sinn – ein Angreifer kann sich jederzeit über die iPhone App nur mit Passwort und Benutzername/E-Mail Adresse einloggen und Bezahlvorgänge starten.

Mehr Sicherheit in WordPress 3.7

Nachdem viele WordPress durch Sicherheitslücken angegriffen und für DDos Attacken missbraucht wurden verspricht nun die kommende Version 3.7 Verbesserungen vor allem im Sicherheitsbereich.

So sollen Aktualisierungen künftig automatisch eingespielt werden. Auch verwendete Sprachpakete sollen automatisch heruntergeladen und installiert werden. Nach einem Update wird ein Mail an den Admin verschickt um über das Update und allfällige Probleme zu informieren.

Bei der Festlegung von Passwörtern informiert WordPress nun besser über die Sicherheit des gewählten Passworts.

Weitere Verbesserungen sind bei der Suche vorgesehen: Suchergebnisse sollten nun auch nach Relevanz sortiert werden können, nicht nur nach Datum.

WordPress 3.7 ist als Beta bereits verfügbar.