Ebook66 pages38 minutes
Websecurity: Jahresrückblick
Rating: 0 out of 5 stars
()
About this ebook
Dieser shortcut liefert einen Rückblick auf Sicherheitslücken und Angriffe im Jahr 2014. Im ersten Kapitel stehen dabei vor allem OpenSSL, SSL und TLS im Fokus. Das zweite Kapitel befasst sich unter anderem mit den Angriffen Shellshock und Poodle sowie der Frage, wie sehr das Internet im Jahre 2014 nun tatsächlich zur Zielscheibe von Angriffen wurde.
Read more from Carsten Eilers
shortcuts iOS Security: Sichere Apps für iPhone und iPad Rating: 0 out of 5 stars0 ratings
Related to Websecurity
Titles in the series (100)
Einstieg in Google Go Rating: 0 out of 5 stars0 ratingsServiceorientierte Architektur: Anforderungen, Konzeption und Praxiserfahrungen Rating: 0 out of 5 stars0 ratingsTFS 2012 Versionskontrolle: Grundlagen, Check-In Policies und Branch-Modelle Rating: 0 out of 5 stars0 ratingsQualität in IT-Architekturen: Strategie und Planung Rating: 0 out of 5 stars0 ratingsJava EE Security Rating: 0 out of 5 stars0 ratingsSpring: Vier Perspektiven auf Framework und Ökosystem Rating: 0 out of 5 stars0 ratingsNFC: Near Field Communication für Android-Entwickler Rating: 5 out of 5 stars5/5JavaScript für Eclipse-Entwickler: Orion, RAP und GWT Rating: 0 out of 5 stars0 ratingsHTML5 Security Rating: 0 out of 5 stars0 ratingsErfolgreiche Spieleentwicklung: OpenGL, OpenAL und KI Rating: 0 out of 5 stars0 ratingsÜberzeugende Präsentationen: Konzeption, Technik und Design Rating: 0 out of 5 stars0 ratingsHTML5 für Mobile Web Rating: 0 out of 5 stars0 ratingsJava 7: Fork-Join-Framework und Phaser Rating: 0 out of 5 stars0 ratingsSkalierbare Softwaresysteme: Design, Betrieb und Optimierungspotenziale Rating: 0 out of 5 stars0 ratingsJavaScript auf dem Server Rating: 0 out of 5 stars0 ratingsAmazon Web Services für .NET Entwickler Rating: 0 out of 5 stars0 ratingsF#: Ein praktischer Einstieg Rating: 0 out of 5 stars0 ratingsGeolocation mit PHP: Foursquare-API, Google Places & Qype Rating: 0 out of 5 stars0 ratingsIT Wissensmanagement: Theorie und Praxis Rating: 0 out of 5 stars0 ratingsAlgorithmen: Grundlagen und Implementierung Rating: 0 out of 5 stars0 ratingsBPM: Strategien und Anwendungsfälle Rating: 0 out of 5 stars0 ratingsErfolgreiche Spieleentwicklung: OpenCL Rating: 0 out of 5 stars0 ratingsTitanium Mobile: Multi Platform Apps mit JavaScript Rating: 0 out of 5 stars0 ratingsTFS 2012 Anforderungsmanagement: Work Items und Prozessvorlagen Rating: 0 out of 5 stars0 ratingsBig Data: Technologiegrundlagen Rating: 0 out of 5 stars0 ratingsjQuery Mobile - Basics: Basics Rating: 0 out of 5 stars0 ratingsUX Design für Tablet-Websites: Ein Überblick Rating: 0 out of 5 stars0 ratingsBig Data: Executive Briefing Rating: 0 out of 5 stars0 ratingsSharePoint-Entwicklung für Einsteiger Rating: 0 out of 5 stars0 ratingsJava EE 7: Ein Ausblick Rating: 0 out of 5 stars0 ratings
Related ebooks
Die Effizienz von Security Monitoring und Log Management: IT-Systeme und -Dienste unter Beschuss Rating: 0 out of 5 stars0 ratingsData Loss Prevention und Incident Response: Schutz vor Hackerangriffen Rating: 0 out of 5 stars0 ratingsSECURITY AWARENESS: Leitfaden zur IT-Sicherheit für Anwender Rating: 0 out of 5 stars0 ratingsWebsecurity: Angriffe mit SSRF, CSRF und XML Rating: 0 out of 5 stars0 ratingsJavaScript Security: Sicherheit im Webbrowser Rating: 0 out of 5 stars0 ratingsDie Burg IT-Sicherheit: IT-Sicherheit Stein auf Stein Rating: 0 out of 5 stars0 ratingsSicherheit in vernetzten Systemen: 24. DFN-Konferenz Rating: 0 out of 5 stars0 ratingsAngriffsziel UI: Benutzeraktionen, Passwörter und Clickjacking Rating: 0 out of 5 stars0 ratingsSicherheit in vernetzten Systemen: 26. DFN-Konferenz Rating: 0 out of 5 stars0 ratingsKosten der IT-Sicherheit: Ein Ausgangspunkt für weitergehende Untersuchungen Rating: 0 out of 5 stars0 ratingsRisiken in der IT: Erkennen - Steuern - Verbessern: Ein Modell für effektives Risikomanagement in Entwicklung und Betrieb Rating: 0 out of 5 stars0 ratingsInternet of Things: Grundlagen und App-Entwicklung für Windows 10 IoT Rating: 0 out of 5 stars0 ratingsUsable Security und Privacy by Design Rating: 0 out of 5 stars0 ratingssichere Informationstechnologie: auf der Suche nach robusten Organisationsformen: Cyber-Security, Datenschutz, Managementsysteme Rating: 0 out of 5 stars0 ratingsInformation Security: Smarte Lösungen zu neuartigen Bedrohungen und erweiterter Regulatorik Rating: 0 out of 5 stars0 ratingsSocial Engineering - Der Mensch als Sicherheitsrisiko in der IT Rating: 0 out of 5 stars0 ratingsPrivacy Impact Assessment: Datenschutz-Folgenabschätzung nach ISO/IEC 29134 und ihre Anwendung im Rahmen der EU-DSGVO Rating: 0 out of 5 stars0 ratingsKochbuch ISMS: Informationssicherheits-Management nach ISO 27001 Rating: 0 out of 5 stars0 ratingsIT-Sicherheit ist sexy!: Argumente für Investitionen in IT-Sicherheit Rating: 0 out of 5 stars0 ratingsCloud-Services testen: Von der Risikobetrachtung zu wirksamen Testmaßnahmen Rating: 0 out of 5 stars0 ratingsRequirement Management Systeme: Suche und Bewertung geeigneter Tools in der Software-Entwicklung Rating: 0 out of 5 stars0 ratingsSpurlos & Verschlüsselt! Rating: 0 out of 5 stars0 ratingsITIL konformes Incident Management im Bereich der Software-Entwicklung: Chancen im Einsatz von Open Source Software Rating: 0 out of 5 stars0 ratingsWindows Server 2012 R2 - Der schnelle Einstieg Rating: 0 out of 5 stars0 ratingsQualität in IT-Architekturen: Strategie und Planung Rating: 0 out of 5 stars0 ratingsMobile App Testing: Praxisleitfaden für Softwaretester und Entwickler mobiler Anwendungen Rating: 0 out of 5 stars0 ratingsHacken mit 'e': Das ultimative Hacker-Buch - für alle Insider und solche die es werden wollen! Rating: 0 out of 5 stars0 ratingsIT Sicherheitsmanagement: Ihr Praxis - Leitfaden! Rating: 0 out of 5 stars0 ratingsKünstliche Intelligenz Rating: 0 out of 5 stars0 ratings
Security For You
Überwachungswahn: ...wie umgehen ?? Rating: 0 out of 5 stars0 ratingsHacken mit Kali-Linux: Schnelleinstieg für Anfänger Rating: 0 out of 5 stars0 ratingsHeimnetzwerke XL-Edition: DSL/WLAN/PC/Handy/Drucker & Co. Rating: 0 out of 5 stars0 ratingsHacken mit Python und Kali-Linux: Entwicklung eigener Hackingtools mit Python unter Kali-Linux Rating: 0 out of 5 stars0 ratingsWebseiten hacken: Schnelleinstieg inkl. Entwicklung eigener Angriffsscripte Rating: 0 out of 5 stars0 ratingsAndroid Security: Von Fake-Apps, Trojanern und Spy Phones Rating: 0 out of 5 stars0 ratingsCybercrime: Wie Sie Gefahren im Internet erkennen und sich schützen Rating: 0 out of 5 stars0 ratingsVersteckte Botschaften (TELEPOLIS): Die faszinierende Geschichte der Steganografie Rating: 5 out of 5 stars5/5Bug Bounty Hunting mit Kali-Linux oder Parrot Security OS: Hacking als Hautberuf oder Nebenjob Rating: 3 out of 5 stars3/5Kosten der IT-Sicherheit: Ein Ausgangspunkt für weitergehende Untersuchungen Rating: 0 out of 5 stars0 ratingsResilience: Wie Netflix sein System schützt Rating: 0 out of 5 stars0 ratingsKochbuch ISMS: Informationssicherheits-Management nach ISO 27001 Rating: 0 out of 5 stars0 ratingsEinführung ins Darknet: Darknet ABC Rating: 0 out of 5 stars0 ratingsNeun Schritte zum Erfolg: Ein Überblick zur Implementierung der Norm ISO 27001:2013 Rating: 0 out of 5 stars0 ratingsDie Burg IT-Sicherheit: IT-Sicherheit Stein auf Stein Rating: 0 out of 5 stars0 ratingsFRITZ!Box: Konfigurieren - Tunen - Absichern Rating: 0 out of 5 stars0 ratingsWeg ins Darknet und Im Darknet Rating: 0 out of 5 stars0 ratingsIT-Sicherheit ist sexy!: Argumente für Investitionen in IT-Sicherheit Rating: 0 out of 5 stars0 ratingsHeim-Netzwerke Tipps & Tools: Netzwerkverbindungen • Zentraler Datenspeicher • Mediastreaming Rating: 0 out of 5 stars0 ratingsHeim-Netzwerke: Netzwerktechnik • High-Speed-Internet • Arbeiten im Heimnetz Rating: 0 out of 5 stars0 ratingssichere Informationstechnologie: auf der Suche nach robusten Organisationsformen: Cyber-Security, Datenschutz, Managementsysteme Rating: 0 out of 5 stars0 ratingsISO27001/ISO27002: Ein Taschenführer Rating: 0 out of 5 stars0 ratingsNichts ist sicher: Tricks und Techniken von Cyberkriminellen verstehen und sich schützen Rating: 5 out of 5 stars5/5Ich Hacker – Du Script-Kiddy: Hacking und Cracking Rating: 0 out of 5 stars0 ratings
Related podcast episodes
Wissen Sie, ob Sie schon gehackt sind?: Log4j als weitere Warnung vor gravierenden Sicherheitslücken in der IT 0% found this document usefulCybersecurity: Warum müssen sich gerade Berufseinsteiger vor Hackern schützen?: WirtschaftsWoche Money Mates 0% found this document usefulEZB gibt Daten US-Anbietern | Von Norbert Häring 0% found this document usefulWhatsApp : Die End-to-End Verschlüsselung war eine Lüge | Von Thomas Röper 0% found this document usefulEpisode 177 - Keine Strafe trotz "Bitcoin-Diebstahl"? mit Richter Dr. Sebastian Ludes 0% found this document usefulProgrammierer zu 40 Jahren Folter-Haft verurteilt | Von Norbert Häring 0% found this document useful„Wir brauchen ein neues Internet“ – Ivo Ivanov von De-Cix 0% found this document usefulDatensicherheit in der Cloud mit Gerald Boyne (Amazon Web Services) 0% found this document usefulInternet Security Days 2023: Wie gestalten wir die Cybersicherheit von Morgen? 0% found this document useful
Related articles
Angriffstechnik Linux Magazin germanyArticle
Angriffstechnik
Sep 1, 2021
7 min readBeglaubigt Linux Magazin germanyArticle
Beglaubigt
Sep 1, 2021
7 min readPrivate Post Linux Magazin germanyArticle
Private Post
Dec 1, 2021
10 min readSchlüsseldienst LinuxUserArticle
Schlüsseldienst
Jun 16, 2022
1 min readUnsichtbar Raspberry Pi GeekArticle
Unsichtbar
Jan 19, 2023
7 min readUnsichtbar LinuxUserArticle
Unsichtbar
Jan 19, 2023
7 min readVier Kommerzielle Hoster Für Nextcloud Im Vergleich Dienstleistung LinuxUserArticle
Vier Kommerzielle Hoster Für Nextcloud Im Vergleich Dienstleistung
Aug 18, 2021
4 min readTunnelbauer Raspberry Pi GeekArticle
Tunnelbauer
Jan 19, 2023
5 min readTunnelbauer LinuxUserArticle
Tunnelbauer
Jan 19, 2023
5 min readWas Können VPNs Wirklich? MacLife GermanArticle
Was Können VPNs Wirklich?
Apr 1, 2021
3 min readWas Können VPNs Wirklich? iPhone & iPadLifeArticle
Was Können VPNs Wirklich?
Mar 11, 2021
3 min readAppetithappen Linux Magazin germanyArticle
Appetithappen
Apr 7, 2021
10 min readUnleserlich Linux Magazin germanyArticle
Unleserlich
Dec 1, 2021
10 min readWeggesperrt LinuxUserArticle
Weggesperrt
Jan 20, 2022
10 min readEinfach Sicher LinuxUserArticle
Einfach Sicher
Jan 20, 2022
3 min readSchlüsselfragen Linux Magazin germanyArticle
Schlüsselfragen
Dec 1, 2021
11 min readSelbst Ist Der Admin LinuxUserArticle
Selbst Ist Der Admin
Apr 21, 2021
7 min readWenig Wahl, viel Qual LinuxUserArticle
Wenig Wahl, viel Qual
Jan 19, 2023
11 min readGeheimsache LinuxUserArticle
Geheimsache
Oct 20, 2022
13 min readWenig Wahl, viel Qual Raspberry Pi GeekArticle
Wenig Wahl, viel Qual
Jan 19, 2023
11 min readSichere Brücke LinuxUserArticle
Sichere Brücke
Jan 19, 2023
6 min readMit SICHERHEIT in die Arbeitswelt VON MORGEN New Work MagazineArticle
Mit SICHERHEIT in die Arbeitswelt VON MORGEN
Jul 10, 2020
„Anti-Virus ist tot“. Diese Aussage aus der Führungsriege des Anti-Virus-Herstellers Norton hat schon 2014 für Aufsehen gesorgt. Bevor die Anti-Virus-Software auf dem PC nun aber deinstalliert wird, sollte die Aussage im Kontext betrachtet werden. Kl
3 min readSichere Brücke Raspberry Pi GeekArticle
Sichere Brücke
Jan 19, 2023
6 min readIntegration Ausbauen Linux Magazin germanyArticle
Integration Ausbauen
Oct 6, 2021
9 min readSimple Server LinuxUserArticle
Simple Server
Mar 17, 2021
5 min readWachposten Linux Magazin germanyArticle
Wachposten
Mar 3, 2022
6 min readVerschlusssache LinuxUserArticle
Verschlusssache
Oct 19, 2023
6 min readTunnelblick LinuxUserArticle
Tunnelblick
Mar 17, 2022
14 min readSicherer Draht Raspberry Pi GeekArticle
Sicherer Draht
Aug 4, 2021
6 min readSicherer Draht Raspberry Pi GeekArticle
Sicherer Draht
Aug 4, 2021
6 min read
Reviews for Websecurity
Rating: 0 out of 5 stars
0 ratings
0 ratings0 reviews
Book preview
Websecurity - Carsten Eilers
GmbH
1 Angriffe in OpenSSL und SSL/TLS
Noch nie war es mit der Sicherheit im Internet so schlecht bestellt wie 2014. Jedenfalls gewinnt man diesen Eindruck, wenn man die ganzen Vorfälle im vergangenen Jahr betrachtet. Inzwischen gibt es sogar eine Website, die laufend die Frage „Is The Internet On Fire?" beantwortet [1]. Ganz vorne mit dabei: OpenSSL und SSL/TLS allgemein. Wir blicken zurück.
Zwar steht nicht das ganze Internet in Flammen, aber es kokelt doch an etlichen Ecken. Leider mal wieder an vorderster Front involviert: SSL/TLS. Dass das dafür verwendete Zertifizierungssystem eher einem brennenden Kartenhaus als der nötigen stabilen Festung gleicht, mussten wir ja schon 2011/2012 zur Kenntnis nehmen [2]. 2014 waren erneut die Protokolle selbst sowie ihre Implementierungen die Quelle des Übels. Los ging es mit OpenSSL und ganz viel Herzblut.
Der Heartbleed-Bug in OpenSSL
Am 7. April 2014 wurde von OpenSSL ein Security Advisory [3] zu einer neu behobenen Schwachstelle mit der CVE-ID CVE-2014-0160 [4] veröffentlicht, die folgendermaßen beschrieben wurde: A missing bounds check in the handling of the TLS heartbeat extension can be used to reveal up to 64k of memory to a connected client or server.
Eine parallel veröffentlichte Website [5] einiger Entdecker des Sicherheitsrisikos machte dann schnell deutlich, dass die Schwachstelle das Potenzial hat, zu einem großen Problem zu werden. Nebenbei bekam die Entdeckung im Gegensatz zu den meisten anderen sogar einen eigenen Namen: Heartbleed-Bug.
Der Heartbleed-Bug basiert auf einer fehlenden Bereichsprüfung in der Heartbeat-Funktion. Ein Angreifer kann darüber einen „buffer over-read auslösen. Als Antwort auf einen präparierten Heartbeat-Request sendet OpenSSL bis zu 64 KB Speicherinhalte an den Angreifer. Dieser Speicher kann unter anderen den privaten Schlüssel des Servers, Sessionschlüssel oder über TLS übertragene Zugangsdaten enthalten. Der Angriff kann ggf. wiederholt werden, um weitere Speicherbereiche auszulesen. Das ist schlimm, sehr schlimm. Oder wie Bruce Schneier es formuliert hat, eine Katastrophe [5]: „‘Catastrophic’ is the right word. On the scale of 1 to 10, this is an 11.
Wie funktioniert der Angriff?
Die „Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS) Heartbeat Extension [6] dient dazu, eine Verbindung aufrechtzuerhalten, obwohl keine Daten übertragen werden („keep-alive
). Heartbeat-Nachrichten bestehen aus zufälligen Daten und einem Feld mit der Payload-Länge. Der Kommunikationspartner muss auf einen Heartbeat-Request mit genau den gleichen Daten antworten.
Der Heartbleed-Bug besteht darin, dass die Payload-Länge nicht geprüft wird, bevor sie verwendet wird. OpenSSL reserviert entsprechend dem Wert im Längenfeld einen Puffer. Danach werden die Daten entsprechend diesem Wert aus der Eingabe in den Puffer kopiert. Gibt ein Angreifer eine größere Länge als Payload-Länge an, als die von ihm gesendete Payload tatsächlich umfasst, werden die hinter der Payload liegenden Speicherbereiche in den Puffer kopiert.
Wird zum Beispiel die Payload-Länge mit 64 KB angegeben (das ist der Maximalwert), obwohl nur 1 KB Payload gesendet wird, werden also 63 KB des vorhandenen Speichers in den Puffer kopiert – samt der zuvor darin enthaltenen und nicht überschriebenen, möglicherweise sensitiven, Daten. Nach dem Kopieren der Daten wird der gefüllte Puffer als Antwort auf den Heartbeat-Request an den Kommunikationspartner gesendet.
Der Angriff funktioniert sowohl gegen Server als auch gegen Clients, ist gegen Server aber deutlich einfacher, da der Angreifer von sich aus eine Verbindung zum Opfer aufnehmen kann. Beim Angriff auf einen Client muss der sich dafür mit einem bösartigen Server verbinden. Was im Zweifelsfall mit etwas Social Engineering oder
Enjoying the preview?
Page 1 of 1