Tor, Mai 2018

Der Hoster hat im Mai keine Zahlen erfasst. Daten gibt es daher hier.

Versicherung

Eine Versicherung, die nicht genannt werden möchte, betrieb unter einer Subdomain eine veraltete Filehosting-Software. Für ein Plugin der veralteten Filehosting-Software sind Exploits bekannt (Remote Code Execution). Diese funktionierten jedoch nicht mit der Software, die dem Anschein nach seit 2009 nicht geupdatet worden war. Die von der Versicherung verwendete Version war jedoch für Blind Remote Command Execution anfällig. Die Sicherheitslücke Unterschiede in Ausführungszeiten (||+sleep+5 vs ||+sleep+0) konnten genutzt werden, um mit Rechten des Webservers andere Dateien auf dem Server zu lesen oder zu schreiben.

Tor, April 2018

GI Sicherheit Tag 3

10 Schritte zur digitalen Souveränität Dirk Fox beginnt mit Zitaten von Zuckerberg (2010, Privacy is no longer a Social Norm), Merkel (2015, Datenschutz darf nicht die Oberhand über die wirtschaftliche Verarbeitung gewinnen) und Thorsten Dirks (2015, Das Konzept der Datensparsamkeit muss überdacht werden). Dann folgt ein Abriss über die Geschichte des Datenschutzes mit BDSG (1977), Volkszählungsurteil (1983, Was nicht erlaubt ist, ist verboten.), EU Grundrechtecharta (2009) und The Right to privacy (1890, Warren/Brandeis).

GI Sicherheit Tag 1

Towards an Architecture for Pseudonymous E-Commerce - Applying Privacy by Design to Online Shopping Bei Nutzung von Zahlungs- und Versanddienstleistern muss ein Online-Shop nicht unbedingt auch die Konto- und Versanddaten seiner Kunden erfahren. Eigentlich sollte es genügen, wenn ein Online-Shop weiß, welche Artikel verkauft wurden und dass die Ware bezahlt wurde. Sebastian Pape hat mehrere Architekturen vorgestellt, die genau das erreichen. Die Architekturen wurden unter Datenschutz-, Transparenz, Nutzbarkeits- und Kompatibilitätsaspekten miteinander verglichen.

GI Sicherheit Tag 0

Tag 0 der Sicherheit 2018 war einem Doktorandenforum gewidmet. Fünf Doktoranden hatten die Möglichkeit, ihr Dissertationsthema vorzustellen. Die erste Hälfte habe ich dank eines verspäteten Zuges verpasst. Turning the Table Around: Monitoring App Behavior Wie intensiv nutzen Apps die Berechtigungen, die ihnen erteilt wurden? Mit einer Monitoring App möchte Nurul Momen auf gerooteten Mobiltelefonen erfassen, welche Berechtigungen wann und wie häufig von bestimmten Apps genutzt werden. Er hat einen Prototypen vorgestellt und das Modell präsentiert, nach dem das persönliche Risiko der Nutzer bewertet und visualisiert werden soll.

Telekom Austria

Jemand schrieb auf Twitter, dass die Telekom Austria Kundenpasswörter im Klartext speichern würde. Für die Telekom Austria ist das jedoch kein Problem.

Tor, März 2018

Tor, Februar 2018

Tor, Januar 2018