Blog

  • Vernehmlassungsantwort VPR / VEleS
    Vernehmlassung 2021/61: Änderung der Verordnung über die politischenRechte (VPR) und der Verordnung der BK über die elektronische Stimm-abgabe (VEleS) Sehr geehrte Damen und Herren BundesräteSehr geehrter Herr BundeskanzlerSehr geehrte Damen und Herren Wir schreiben Ihnen als eine Gruppe von Personen, die sich mit der Sicherheit von Wahlen und Abstimmungen beschäftigen. Unsere Gruppe setzt sich aus… Vernehmlassungsantwort VPR / VEleS weiterlesen
  • Remote Code Execution
    Der Schweregrad von Schwachstellen in Software wird normalerweise nach dem Common Vulnerability Scoring System (CVSS) bewertet. Ein CVSS Score von 1 ist in der Regel harmlos und kann allenfalls in Kombination mit anderen Schwachstellen zu einem Problem werden. Remote Code Execution (RCE) ist die Ausführung von Programmen über die Ferne, die grösstmögliche Schwachstelle in Computersystemen.… Remote Code Execution weiterlesen
  • E-Voting in der Schweiz: Visionär verrückt
    Mitten in der Dotcom-Krise im Jahr 2000 wurde in der Schweiz der Grundstein für die Entwicklung von E-Voting Systemen gelegt (https://www.parlament.ch/de/ratsbetrieb/suche-curia-vista/geschaeft?AffairId=20003190). Viele Jahre und Entwicklungsschritte später, im April 2018, leitete der Bundesrat Schritte ein, um E-Voting in einen regulären Stimmkanal zu überführen. Dieser Entscheid war ein Weckruf für Kritiker. Verrücktes E-Voting Sichere Hardware gibt es… E-Voting in der Schweiz: Visionär verrückt weiterlesen
  • Vernehmlassungsantwort BPR eVoting
    Stellungsnahme zur Änderung des Bundesgesetzes über die politischen Rechte Sehr geehrter Herr Bundeskanzler Wir schreiben Ihnen als eine Gruppe von Personen, die sich mit der Sicherheit von Wahlen und Abstimmungen beschäftigen. Unsere Gruppe eint Kritiker und Befürworter der elektronischen Stimmabgabe. Für die Kritiker besteht ein Interesse daran, sicherzustellen, dass die elektronische Stimmabgabe möglichst sicher implementiert… Vernehmlassungsantwort BPR eVoting weiterlesen
  • Die eVoting Gegner haben versagt
    Eine Gruppe von Personen hat jahrelang gearbeitet, um eVoting in der Schweiz zu realisieren. Kurz vor der Vollendung steigt eine beträchtliche Anzahl von Bürgern auf die Barrikaden, um genau dies zu verhindern. Das ist eine unsägliche Verschwendung von Ressourcen. Wo waren all die Kritiker, als es noch darum ging, die Grundlagen auszuarbeiten? Wieso haben sie… Die eVoting Gegner haben versagt weiterlesen
  • Druckerdienst auf AD DC + Kerberos Unconstrained Delegation = PWN
    Will Schroeder, Lee Christensen und Matt Nelson haben auf der Derbycon 2018 eine neue Variante eines bereits bekannten Angriffs auf Active Directory Infrastrukturen präsentiert.  Die Zusammenfassung von Sean Metcalf auf Englisch findet man hier: https://adsecurity.org/?p=4056. Kurz gefasst: Wenn ein Angreifer einen Host mit «Kerberos Unconstrained Delegation» übernehmen kann und auf dem Domain Controller der Druckerdienst… Druckerdienst auf AD DC + Kerberos Unconstrained Delegation = PWN weiterlesen
  • Sinn und Unsinn von Staatstrojanern
    Dass Staatstrojaner eingesetzt werden, ist keine Neuigkeit und es ist nicht grundsätzlich etwas dagegen einzuwenden. Es fehlt in der politischen Diskussion aber manchmal die technische Kenntnis, um einen Einsatz von Staatstrojanern sinnvoll zu gestalten. Zuerst müssen drei Begriffe geklärt werden. Ein Staatstrojaner ist ein Computer-Programm, das es staatlichen Organen ermöglichen soll, auf Zielcomputern möglichst unbemerkt… Sinn und Unsinn von Staatstrojanern weiterlesen
  • Offensive Security Certified Professional OSCP Tipps
    Offensive Security (https://www.offensive-security.com/) bietet verschiedene Off- und Onlineausbildungen an. Eine davon ist der «Offensive Security Certified Professional» (OSCP). Wer sich im Bereich Ethical Hacking weiterbilden will, findet in dieser Ausbildung eine grossartige Spielwiese, wird aber auch eine steile Lernkurve bewältigen. Die Ausbildung umfasst ein moderat langes Script zur Einführung. Der eigentliche Kern dieser Weiterbildung besteht… Offensive Security Certified Professional OSCP Tipps weiterlesen
  • Bankentrojaner im Word Dokument
    Wie wohl die meisten E-Mail Benutzer erhalte ich regelmässig seltsame Mails mit interessanten Anhängen. Heute hatte ich Lust, eine solche E-Mail genauer anzuschauen. Bankentrojaner im Posteingang Im Prinzip sollte diese E-Mail sehr schnell als dubios identifiziert werden können. Die E-Mail gibt im Text vor, von Shell zu stammen. Man sieht aber bereits, dass der Absender… Bankentrojaner im Word Dokument weiterlesen
  • Welche Länge für neue RSA Schlüssel?
    Die gegenwärtig üblichste Empfehlung für die Länge neuer RSA Schlüssel  beträgt 2048 Bit. So steht es auch beim deutschen Bundesamt für Sicherheit in Informationstechnik (BSI) (Stand Frühling 2017): Für langfristige Sicherheitsanwendungen sollten 2048 Bit RSA -Moduli […] eingesetzt werden. (Quelle: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m02/m02164.html) Auch Qualys empfiehlt nach wie vor den Einsatz von 2048 Bit RSA Schlüsseln (Stand… Welche Länge für neue RSA Schlüssel? weiterlesen