Hi…
hier http://spectrum.ieee.org/podcast/biomedical/devices/hacking-pacemakers ist ein Artikel, über dessen Thema wir uns wahrscheinlich zunächst einmal noch keine Gedanken gemacht hätten. In Zukunft werden wir aber in der Welt des Internet of Things leben und damit werden auch Herzschrittmacher-Hersteller sich Gedanken über Firewalls auf ihren Devices machen müssen.
CU
0xff
Hi…
Auf die Frage, wer den Cloud Computing macht, wurde vor einigen Jahren im Fachpublikum noch mit leichten Lachanfällen reagiert. Alles viel zu unsicher. Wenn man dann gesagt hat, dass jeder, der privat eine gehostete Email-Adresse hat oder gar Online-Banking macht, eigentlich schon voll in der Cloud angekommen ist, gab es verdutzte Gesichter.
Heute ist das Thema Cloud salonfähig geworden – ob die IT-Abteilung das wollte oder nicht. Das Totschlag-Argument Sicherheit hat nicht gezogen – irgendwie. Ich nenne Sicherheit hier ein Totschlag-Argument, weil zumeist nicht viel dahinter steckt. Man sagt, „Unsicher“ und hofft, dass keiner eine weitere Frage stellt. In Wahrheit hat man sich mit dem Thema sowas von Null beschäftigt. Wenn man dann sagt, dass Cloud Daten wahrscheinlich die besser geschützten sind, reagiert man am besten mit Auslachen. Leider sprechen die Tatsachen eine andere Sprache.
Nehmen wir diesen netten Artikel http://www.cloudtweaks.com/2013/05/top-5-hipaa-security-risks-as-providers-migrate-to-tthe-cloud/ . Überrascht uns eigentlich, dass Hacking und IT Probleme mit 6.3% es gerade noch so in die Top 5 Probleme geschafft haben?? Probleme wie das Stehlen von Laptops, Herumliegen von Ausdrucken und derartiges mehr, sind halt immer noch die Spitze. Und das sind Hinterlassenschaften der alten Zeit.
Nun sind die 6.3% immer noch zu viel, keine Frage. Und die Tatsache, dass alte Bekannte wie SQL Injection noch immer die Top 10 der OWASP Liste anführen, macht einen wundern. Wer heute keine Tools wie Code Analyzer einsetzt, ist selber schuld und sollte dafür auch haftbar gemacht werden.
Die Diskussion, die man zum Thema Cloud Security noch führen sollte, ist der Speicherort der Daten. Leider ist das Internet da nicht eine homogene Landschaft. Der Speicherort der Daten bestimmt den gesetzlichen Rahmen zum Thema Datenschutz. Wir Deutschen dürfen mit Recht sagen, dass wir es erfunden haben. Wir sollten dieses Erbe auch in eine Tradition verwandeln und uns bewusst sein, dass dies unser Beitrag für das globale Netz werden könnte. Aber nur, wenn wir Tradition nicht mit dem Bewachen der Asche sondern mit dem Erhalten des Feuers übersetzen. Datenschutz muss sich wandeln und die Zeichen der Zeit mitnehmen. Die Aussage einiger Datenschutzfundamentalisten, dass Social Networks sowieso des Teufels wären, wird da nicht helfen.
CU
0xff
Hi…
wie komme ich zum Code Analyzer?? Klarer weise beginnt alles auf der Website des Developer Gardens. Dort findet man einen LogIn-Button:
Dort erstmal mit seinem Konto anmelden. Danach erscheint dort der neue Link My Account. Wenn ich dem folge, kann ich Dienste ein-/ausschalten.
Dort auf API-Management. Als neues Element seit Gestern erscheint Code Analyzer:
Damit kann ich den Dienst ein-/ausschalten. Wie man sieht, ich habe ihn bereits eingeschaltet (you guessed). Über den Link Config kann ich meinen Plan wählen. Ich arbeite derzeit auf dem freien Angebot.
Dort findet sich auch der Hyperlink zum Dashboard, über das man Code hochlädt nd die Scan-Ergebnisse ansehen kann. Der Link lautet https://codeanalyzer.developergarden.com/Dashboard.aspx
Viel Spaß damit…
CU
0xff
Hi…
Gerade bin ich über „Honey Words“ gestolpert (http://www.pcworld.com/article/2038092/use-of-honeywords-can-expose-password-crackers.html). Idee ist es, einige leicht zu knackende Passwörter in die Tabelle aller ge-salteten und ge-hashten Passwörter einzustreuen. Wenn dann diese Passwörter zum Login verwendet werden, geht die Alarm-Sirene hoch.
Scheinbar wird man zunehmend unruhig zum Thema Benutzername-Passwort. Eine kleine Auswahl von einem einzigen Portal gefällig:
http://www.pcworld.com/article/260540/how_to_configure_googles_two_step_authentication.html
http://www.pcworld.com/article/258467/does_twofactor_authentication_need_to_be_fixed.html
http://www.pcworld.com/article/261476/protect_your_dropbox_data_with_two_factor_authentication.html
Jetzt habe ich Angebote gesehen, die etwas mehr wie 700 € für eine Two Factor Authentication haben wollen. Wie das auch billiger geht, kann man in meinem Blog etwas weiter unten lesen.
Update:
Gerade auf Facebook gesehen…
CU
0xff
Hi…
Da ich es in letzter Zeit des Öfteren erzählt habe, hier mal ein Erwähnung des Käsescheiben-Models. Ich habe es kennengelernt, als ich meinen Master an der University of Liverpool gemacht habe. Im Kurs „Security Engineering“ haben wir Ross Andersons Buch zu dem Thema durchgearbeitet. Eine Buch, das ich für einen absoluten Meilenstein halte und das es mittlerweile hier http://www.cl.cam.ac.uk/~rja14/book.html zum Lesen gibt.
Das Käsescheiben-Model kommt eigentlich aus der Luftfahrt-Technik. Übrigens ein Bereich, der sich mit der Sicherheit von Systemen früh beschäftigen musste und daher einen gewissen Vorsprung hat. Das Model beschäftigt sich mit der Zusammenarbeit unterschiedlicher Sicherheitssysteme. Es lautet wie folgt:
Jedes Sicherheitssystem ist vergleichbar einer Käsescheibe. Sie hat geschlossene Flächen aber auch Löcher. Manche mehr und manche weniger. Und jeweils an hoffentlich unterschiedlichen Stellen. Ein Loch steht für ein Sicherheitsproblem. Die Aufgabe der Ingenieure ist es nun, ausreichend viele Käsescheiben so aufeinander zu legen, dass alle Löcher verdeckt werden.
Anbei habe ich mal zwei Käsescheiben übereinander gelegt. Man erkennt, dass zwei Wege offengeblieben sind. Falls wir hier einen Angriff haben würden, würde dieser erfolgreich beide Sicherheitsschichten durchdringen.
Was lernen wir daraus?
CU
0xff
Hi…
vor kurzem habe ich dieses Bild gesehen:
Wie man unschwer erkennen kann, ist es eine SQL Injection. Nach wenigen Sekunden versteht man auch, dass der Fahrer nicht den coolsten Front-Bumper-Sticker seit Anbeginn der Menschheit hat, sondern er versucht mittels dem OCR-Algorithmus hinter einer Verkehrsbeobachtung eine Datenbank anzugreifen.
Kann das funktionieren? Warum nicht?!
Was heißt das jetzt für uns? Nun, M2M verliert gerade seine Unschuld. Solange ich im M2M Umfeld geschlossene Systeme hatte, konnte ich mich schön hinter der physikalischen Sicherheit verstecken. Nehmen wir Stuxnet. Sind doch selber schuld, wenn man USB Sticks in Rechner stopft. Damit klar gegen Regeln verstossen. Der Programmierer dieser Verkehrs-Datenbank-Schnittstelle muss gegen keine Regeln verstossen, dass seine Applikation angreifbar wird. Hoppala…
CU
0xff
Hi…
hier mal vorab den Code zu meinem letzten Demo (auf der CeBIT nebenher gebastelt). Ich muss nochmal drüber gehen und die Variablen sauber benennen etc und tralala… Aber mal vorab…
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 |
//Tropo based news reader // newsfeed_url = "http://api.feedzilla.com/v1/categories/28/articles.json"; require("tropo-webapi"); var express = require("express"); var app = express(); var http = require("http"); var newsfeed_response =''; var get_finished = false; var result_json=''; var message_text= ''; var options_get = { host : 'api.feedzilla.com', port : 80, path : '/v1/categories/28/articles.json', method : 'get' }; function getMessageText() { var reqGet = http.request(options_get, function(res) { get_finished = false; newsfeed_response = ''; res.on('data', function(d) { newsfeed_response += d; }); res.on('end', function(d) { console.log("message received"); result_json = JSON.parse(newsfeed_response); get_finished = true; message_text = "Current news on internet. Top article is "; message_text += result_json.articles[0].title; message_text += "Second best article is "; message_text += result_json.articles[1].title; message_text += "Thank you for listening."; }); }); reqGet.end(); reqGet.on('error', function(e) {console.log(e);}); } app.post("/", function(req, res) { console.log("new incoming call"); getMessageText(); console.log("Sending standby"); var tropo = new TropoWebAPI(); tropo.say("Welcome. We are collecting the latest news and will present you the results."); tropo.on("continue", null, "/continue", true); res.status(200); res.set({"Content-Type": "application/json"}); res.send(TropoJSON(tropo)); }); app.post("/continue", function(req,res) { var tropo = new TropoWebAPI(); if(get_finished=true) { console.log("Sending message"); console.log(message_text); console.log("Hanging up"); tropo.say(message_text); } else { console.log("Sending standby"); tropo.say("Please stand by"); tropo.on("continue", null, "/continue", true); } res.status(200); res.set({"Content-Type": "application/json"}); res.send(TropoJSON(tropo)); }); app.listen(8000); console.log("Server started / listing on port 8000"); |
CU
0xff
Hi…
es ist mir eine Größe Freude Euch zwei neue Evangelisten im Team vorstellen zu dürfen:
Mireia Montanyola-Sales und Richard Süselbeck.
Kurze Videos zur Vorstellung findet Ihr hier:
CU
0xff
Hi…
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 |
/* * Telekom Tropo Call Sample */ // This file is special to me, make your own ;-) var secrets=require("./telekom-tropo-app-secret.js"); require("tropo-webapi"); var express = require("express"); var app = express(); var https = require("https"); var secretAccessCode; //This triggers Telekom Tropo to call back function triggerTelekomTropo() { https.get("https://tropo.developergarden.com/api/sessions?action=create&token="+secrets.telekom_tropo_token_outboundVoice, function(res) { console.log("Session creation requested..."); }).on("error", function(err) { console.log("Got error: " + e.message); }); }; // Use this to access elements of http body app.configure(function() { app.use(express.bodyParser()); }); //This is were Telekom Tropo gets the secret message app.post("/",function(req, res) { var tropo = new TropoWebAPI(); tropo.call(secrets.landlineNumber); tropo.say("The secret access code is " + String(secretAccessCode)); res.end(TropoJSON(tropo)); console.log("Message send..."); }); // Entry form - triggers authentication process app.get("/two_way_authenticate", function(req, res) { var body='<html><head><meta http_equiv="Content-Type" content="text/html; charset=UTF-8" /></head><body>'; body += '<form action="/input_code" method="get">'+ 'If you want to get access code, please press the button.' + '<input type="submit" value="Send access code"/>' + '</form></body></html>'; res.status(200); res.set({"Content-Type": "text/html"}); res.write(body); res.end(); }); // Form to send / enter secret code app.get("/input_code", function(req, res) { secretAccessCode = Math.floor(Math.random()*800)+100; triggerTelekomTropo(); var body='<html><head><meta http_equiv="Content-Type" content="text/html; charset=UTF-8" /></head><body>'; body += '<form action="/check_code" method="post">'+ 'Please enter code.' + '<textarea name="code"></textarea>' + '<input type="submit" value="Check access code"/>' + '</form></body></html>'; res.status(200); res.set({"Content-Type": "text/html"}); res.write(body); res.end(); }); //Form that checks the secret code and grants access app.post("/check_code", function(req,res) { var body='<html><head><meta http_equiv="Content-Type" content="text/html; charset=UTF-8" /></head><body>'; if(Number(req.param('code', null)) == secretAccessCode) body+="Access granted"; else body+="Access denied"; body+='</body></html>'; res.status(200); res.set({"Content-Type": "text/html"}); res.write(body); res.end(); }); app.listen(8000); console.log("Server started / listing on port 8000"); |
CU
0xff
Hi…
na, zum Beispiel Videos machen….
CU
0xff
