Posts

Malware Analyse

Malware-Analyst? Wann habe ich das Sample zum ersten Mal gesehen? Habe ich alle Analyse-Tools benutzt? Was für Ergebnisse sind raus gekommen? Habe ich ein Sample mit Hash 6ce6f415d8475545be5ba114f208b0ff? Das Malware Analysis and Storage System (MASS) könnte hier helfen. An der Uni Bonn und bei Fraunhofer FKIE entwickelt, ist das Ziel von MASS eine verteilte, skalierbare Infrastruktur zur Analyse von Malware zu bieten. Über eine REST-API und ein Webfrontend ist MASS leicht zu bedienen und dank MIT Lizenz sowie Source Code bei Github leicht an die eigenen Bedürfnisse anzupassen.

Firmware-Analyse leicht gemacht

In einem meiner letzten Posts habe ich auf einen interessanten Foliensatz von Fefe verwiesen, der das Problem die Probleme von IoT-Geräte behandelt. Eines der Probleme ist die (meist) mangelnde IT-Sicherheit vieler Geräte. Wie das Beispiel der PC-Wahl-Software (mal wieder) verdeutlicht, ist ein effektiver Weg etwas zu bewirken: Sicherheitslücken finden und melden - viele Hersteller reagieren zumindest bei negativer Berichterstattung ; ) Die Analyse von IoT-Geräten bzw. deren Firmware ist leider in vielen Fällen ein äußerst steiniger Weg.

Wie speichert man Logins/Passwörter in einer eigenen Anwendung ab?

Dieser Artikel dient als Link-Sammelung zu den Überlegungen diverser Quellen (geordnet nach Veröffentlichungsdatum). Eine Erläuterung wie man Passwörter speichern sollte gibt es unter anderem bei NakedSecurity: Serious Security: How to store your users’ passwords safely (November 2013). Zusammenfassung Linux Mint 18.2: crypt mit SHA-512 OWASP (2017): PBKDF2, bcrypt, scrypt Python Passlib 1.7.1 (2017): argon2, bcrypt, PBKDF2, crypt Dropbox (2016): bcrypt (mit eigenen Maßnahmen zur weiteren Sicherung der Passwörter) Pargon Initiative (2016): argon2, bcrypt, scrypt, PBKDF2 (als schlechteste Alternative der guten Möglichkeiten) Password Hashing Competition (2015): argon2 ircmaxell (2014): bcrypt (nur mit scrypt verglichen) NakedSecurity (2013): PBKDF2, bcrypt, scrypt Linux Mint 18.2 Nutzt in der /etc/shadow crypt mit SHA-512 OWASP (September 2017) Use PBKDF2, bcrypt or scrypt for password storage.

Das IoT-Problem

Warum sind Embedded Devices und das Internet of Things (IoT) ein Problem? Fefe hat dazu einen sehens-/lesenswerten Foliensatz veröffentlicht. Cut’n’Paste aus den Folien von Fefe: Das IoT-Problem ist bloß der Zusammenfluss bekannter Probleme: 1. Datensammelwut und „wir scheißen auf Security“ der Hersteller 2. Vertrauensverlust 3. Miserable Produktqualität, Design auf Verschleiß 4. Noch nie musste ein Hersteller haften oder wurde bestraft 5. „Intelligenz in die Cloud, dann wird das Gerät billiger“ 6.

Projektakte

Keep it simple and stupid. Projektverwaltung mit einer einheitlichen Projektakte Folgen die meisten Projekte nicht alle einem festen Schema? Projektausschreibung, Angebot, Vertrag, Abrechnung, Meeting-Protokolle, Berichte und (je nach Unternehmen) noch ein paar andere. Aus diesem Grund nutze ich in allen Projekten eine einheitliche Ordnerstruktur zur Verwaltung der Unterlagen. Wenn ein neues Projekt beginnt, erstelle ich einen Ordner für das Projekt und kopiere die Ordnerstruktur in den Projektordner - fertig ist die digitale Projektakte.

IT-Sicherheitsbeauftragte vs USB-Sticks

Die Aufgabe eines IT-Sicherheitsbeauftragten erfordert ein gewisses Fingerspitzengefühl, um im jeweiligen Szenario das maximale an IT-Sicherheit zu erzielen. Nicht jede Lösung funktioniert überall. Verdeutlicht wird dies am Beispiel von USB-Sticks in zwei Szenarien. Die Aufgaben der Mitarbeiter, die sich um Unternehmens-IT kümmern hat sich in kurzer Zeit radikal verändert. Noch vor wenigen Jahren haben sich Soft- und Hardware extrem schnell weiter entwickelt. Admins, die die Systeme installieren und am laufen halten konnten, waren fast nicht zu finden und mit ihrer Arbeit oft aus- oder überlastet.

Micro- and Macrolevel Optimization

Es gibt unzählige Blogpost, Youtube-Videos, “Lifehacks” etc. zur Optimierung seines Lebens. Viele Lifehacks fallen in die Kategorie der Mikrooptimierung - die Lösung eines kleinen Problems mit einfachen Mitteln, z. B. die Nutzung von Shortscuts wie “Strg-X” und “Strg-V” zum Cut-‘n’-Paste anstelle des Wegs mit Maus und Kontextmenüs. Makrooptimierungen erfordern in der Regel deutlich mehr Arbeit, haben dafür aber einen größeren Effekt - z. B. die Neuinstallation des Betriebssystems. Doch was lohnt sich mehr?

Flüssigkeitsverlust beim Laufen

Vor Kurzem habe ich (wieder) mit dem Laufen angefangen, um etwas für die Ausdauer zu tun. Als Ziel steht ein Marathon in 2017 auf der Liste, so dass ich derweil versuche längere Distanzen zu laufen. Muss ich dabei eigentlich was trinken? Letztens bin ich von meiner längsten Runde zurück gekommen und von meiner Freundin mit “geht es dir nicht gut, du bist so blass” begrüßt worden. Mir ging es gut aber die Computer-Nerd-Blässe war tatsächlich stärker ausgeprägt als sonst.

Motorrad-Bremstraining

Zwar habe ich schon seit einer ganzen Weile einen Motorradführerschein und auch ein Motorrad, die Fahrpraxis hält sich aber in Grenzen. Dazu kommt, dass mein Honda CBR 600 mit Baujahr 1995 noch ohne ABS auskommen muss. Wie bei vielen Motorradfahren stellt sich mir daher die Frage wie hart ich bremsen kann. Aus diesem Grund habe ich kürzlich ein Bremstraining am Fahrsicherheitszentrum (FSZ) in Grevenbroich absolviert von dem ich hier berichten will.

Google Summer of Code 2016

Im Blog zum Google Summer of Code 2016 hat Google aufgeschlüsselt aus welchen Ländern die teilnehmenden Studenten kommen. Vergleicht man dies mit den Einwohnerzahlen der Länder (z.B. von Laenderdaten.de) schneidet Deutschland nicht schlecht ab. Bezogen auf die Bevölkerung und die Teilnehmerzahl des Lands ($\frac{Teilnehmer}{Einwohnerzahl}$) liegen wir auf Platz 9. Für Platz 1 hätten wir ungefähr dreimal soviele Studenten unterbringen müssen. Die Top 10: Sri Lanka Österreich Slowenien Lettland Rumänien Singapur Armenien Griechenland Deutschland Estland Die USA liegt auf Platz 29, China auf 62.