Software, Electronics, 3D Printing and more
Der physische Zugangsschutz stellt einen wichtigen Aspekt jeder Sicherheitsstrategie dar. Ein aktuelles Beispiel zeigt, wie schnell der Weg in Gebäude kritischer Infrastrukturen, Behörden oder Unternehmen frei sein kann. Anstatt Brecheisen oder Social Engineering genügt ein handelsübliches Telefon. Dieser Beitrag ist auf openmindsec.com erschienen. Weiterlesen
Vorschussbetrug gibt es im Internet in vielen Formen. Sei es schwere Krankheit, eine Spende oder Bitcoins. Immer wird auf die Gier der Menschen gesetzt. Dieser Artikel gibt einen Einblick in die kriminellen Strukturen hinter einer Bitcoin Betrugsmasche.
You have probably already heard of Rubber Ducky or BadUSB. The idea behind this stuff is to drop a harmless looking USB Stick at a company or public location. These USB Sticks implement a keyboard which inputs malicious commands into the computer whenever it is attached. The keyboard sends hotkeys to start a shell and […]
Die luca App soll eine sichere Öffnung von Restaurants ermöglichen. Eine direkte Anbindung an Gesundheitsämter soll bei Wahrung des Datenschutzes die schnelle Unterbrechung von Infektionsketten gewährleisten. Bereits vor einigen Wochen wurde viel über den zentralisierten Ansatz der Closed Source Anwendung diskutiert. Der Quellcode der Android Version der luca App wurde inzwischen veröffentlicht. Laut den Entwicklern […]
Die regio iT bietet mit ihrem Serviceportal eine Lösung zur Digitalisierung kommunaler Dienstleistungen. Auf der Homepage der regio iT heißt es dazu: Trotz OZG ruhig schlafen Der Termin naht: Bis zum 31. Dezember 2022 müssen rund 250 Dienstleistungen von den Kommunen auch online angeboten werden. So steht es im Onlinezugangsgesetz (OZG). Viele Behörden greifen auf […]
Gesundheitsdaten erfordern einen hohen Schutz. Doch manchmal stehen sie kaum geschützt im Netz.
Als kleine Randbemerkung ein Cross-Site-Scripting, gefunden bereits im Januar, in einer Applikation der regioiT. Alles in allem keine bedeutende Applikation und keine bedeutende Schwachstelle, aber im Kontext der aktuellen Problematik mit Bürgerportalen eine verspätete Veröffentlichung wert.
Noch am Tag der Veröffentlichung wurde die hier genannte Schwachstelle geschlossen. Über die Details liegen derzeit keine Informationen vor. Ende März diesen Jahres habe ich mehrere Schwachstellen in der Stundenplan- und Klassenbuchsoftware WebUntis in einem Responsible Disclosure Verfahren offengelegt. Neben einer CSRF Schwachstelle war es auch an mehreren Stellen möglich, JavaScript in die Webapplikation einzuschleusen. […]
Am 07.06.2020 gelang der Nachweis, dass die umgesetzten Maßnahmen nicht ausreichnd sind. Mehr dazu hier. Die vollständige Veröffentlichung aller Details und Proof-of-Concepts ist am 22.03.2020 erfolgt. Seit dem 31.03.2020 existiert eine offizielle Stellungnahme der Firma Untis. Details dazu hier. Bei WebUntis handelt es sich um ein elektronisches Klassenbuch, das die Aufgaben eines herkömmlichen Klassenbuchs auf […]
With CVE-2019-5456 I found a security vulnerability in Unifi Controller which enabled an attacker to catch emails sent by the controller even if the TLS should have been enforced. The attack was possible as the controller didn’t validate the server side certificate. Even worse the connection could be downgraded to plaintext if the server didn’t […]
