Autor: Melchior Limacher
-
Remote Code Execution
Der Schweregrad von Schwachstellen in Software wird normalerweise nach dem Common Vulnerability Scoring System (CVSS) bewertet. Ein CVSS Score von 1 ist in der Regel harmlos und kann allenfalls in Kombination mit anderen Schwachstellen zu einem Problem werden. Remote Code Execution (RCE) ist die Ausführung von Programmen über die Ferne, die grösstmögliche Schwachstelle in Computersystemen.…
-
E-Voting in der Schweiz: Visionär verrückt
Mitten in der Dotcom-Krise im Jahr 2000 wurde in der Schweiz der Grundstein für die Entwicklung von E-Voting Systemen gelegt (https://www.parlament.ch/de/ratsbetrieb/suche-curia-vista/geschaeft?AffairId=20003190). Viele Jahre und Entwicklungsschritte später, im April 2018, leitete der Bundesrat Schritte ein, um E-Voting in einen regulären Stimmkanal zu überführen. Dieser Entscheid war ein Weckruf für Kritiker. Verrücktes E-Voting Sichere Hardware gibt es…
-
Vernehmlassungsantwort BPR eVoting
Stellungsnahme zur Änderung des Bundesgesetzes über die politischen Rechte Sehr geehrter Herr Bundeskanzler Wir schreiben Ihnen als eine Gruppe von Personen, die sich mit der Sicherheit von Wahlen und Abstimmungen beschäftigen. Unsere Gruppe eint Kritiker und Befürworter der elektronischen Stimmabgabe. Für die Kritiker besteht ein Interesse daran, sicherzustellen, dass die elektronische Stimmabgabe möglichst sicher implementiert…
-
Die eVoting Gegner haben versagt
Eine Gruppe von Personen hat jahrelang gearbeitet, um eVoting in der Schweiz zu realisieren. Kurz vor der Vollendung steigt eine beträchtliche Anzahl von Bürgern auf die Barrikaden, um genau dies zu verhindern. Das ist eine unsägliche Verschwendung von Ressourcen. Wo waren all die Kritiker, als es noch darum ging, die Grundlagen auszuarbeiten? Wieso haben sie…
-
Druckerdienst auf AD DC + Kerberos Unconstrained Delegation = PWN
Will Schroeder, Lee Christensen und Matt Nelson haben auf der Derbycon 2018 eine neue Variante eines bereits bekannten Angriffs auf Active Directory Infrastrukturen präsentiert. Die Zusammenfassung von Sean Metcalf auf Englisch findet man hier: https://adsecurity.org/?p=4056. Kurz gefasst: Wenn ein Angreifer einen Host mit «Kerberos Unconstrained Delegation» übernehmen kann und auf dem Domain Controller der Druckerdienst…
-
Sinn und Unsinn von Staatstrojanern
Dass Staatstrojaner eingesetzt werden, ist keine Neuigkeit und es ist nicht grundsätzlich etwas dagegen einzuwenden. Es fehlt in der politischen Diskussion aber manchmal die technische Kenntnis, um einen Einsatz von Staatstrojanern sinnvoll zu gestalten. Zuerst müssen drei Begriffe geklärt werden. Ein Staatstrojaner ist ein Computer-Programm, das es staatlichen Organen ermöglichen soll, auf Zielcomputern möglichst unbemerkt…
-
Offensive Security Certified Professional OSCP Tipps
Offensive Security (https://www.offensive-security.com/) bietet verschiedene Off- und Onlineausbildungen an. Eine davon ist der «Offensive Security Certified Professional» (OSCP). Wer sich im Bereich Ethical Hacking weiterbilden will, findet in dieser Ausbildung eine grossartige Spielwiese, wird aber auch eine steile Lernkurve bewältigen. Die Ausbildung umfasst ein moderat langes Script zur Einführung. Der eigentliche Kern dieser Weiterbildung besteht…
-
Welche Länge für neue RSA Schlüssel?
Die gegenwärtig üblichste Empfehlung für die Länge neuer RSA Schlüssel beträgt 2048 Bit. So steht es auch beim deutschen Bundesamt für Sicherheit in Informationstechnik (BSI) (Stand Frühling 2017): Für langfristige Sicherheitsanwendungen sollten 2048 Bit RSA -Moduli […] eingesetzt werden. (Quelle: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m02/m02164.html) Auch Qualys empfiehlt nach wie vor den Einsatz von 2048 Bit RSA Schlüsseln (Stand…