2017, Blog

Mein Name ist John.

Das Beste daran sechszehn zu sein ist, dass mich jeder unterschätzt. Niemand sieht mich. Niemand weiß was ich kann. Ich heiße John und ich bin arm.

2017, Blog

Warum der Wolf die Geißlein vernaschen konnte

Wenn man Kinder hat, liest man ab und zu einige Grimm-Märchen vor. Das beginnt dann mal von Hänsel und Gretel, da wo ein kleines Mädchen eine Frau in einen Ofen schubbst, oder Der Wolf und die sieben Geißlein. Als ich die letztgenannte Geschichte…

[…]

2017, Blog

DarkNet-Recherche – Gespräch mit der dunklen Seite

Ich recherchiere seit einiger Zeit im DarkNet. Strukturen, Leute, Themen, Ideen. Die meisten von Euch wissen wie einfach es ist Zugriff auf DarkNet-Seiten zu bekommen und loszulegen. Als ich die Leser von kowabit nach Links gefragt habe, kamen die üblichen Seiten. Drogen,…

[…]

2017, Blog

Brute-Force-Angriff (Update)

Was ist ein Brute-Force-Angriff (Brute-Force = Rohe Gewalt)? Bei dieser Methode nutzt man in der Regel einen vorhandenen Pool an Lösungen, um die Richtige herauszufinden. Mit Hilfe von Passwortdatenbanken oder Rainbow-Tables werden bei Brute-Force-Attacken alle Einträge der Datenbanken automatisiert ausprobiert, um bspw.…

[…]

2017, Blog

Directory Traversal

Ich hatte den Begriff in dem vorangegangenen Beitrag genannt. Da kam die kurze Frage: Was ist das? Das ist leicht beantwortet. Directory Traversal ist eine Methode, um eine Schwachstelle in einem Webserver herauszufinden. Wenn der Webserver falsch konfiguriert wurde, kann man mit…

[…]

Blog

Cyberkrieg & Bundeswehr

Vor einer Weile kam mal die Meldung auf, dass Frau von der Leyen die Bundeswehr für den Cyberkrieg aufstellen möchte. Daraufhin waren dann einige der üblichen Foren damit befüllt, dass die Bezahlung zu schlecht ist, die Technik zu alt, Deutschland eh Scheiße…

[…]

Blog

Information Gathering für Webseiten / Webserver

Information Gathering (IG) ist eine Disziplin zur Analyse eines Ziels, um Schwachstellen oder mögliche Angriffsflächen ausfindig zu machen. IG ist Bestandteil eines Penetrationstests und gleichzeitig eine Vorgehensart zur Vorbereitung eines Angriffes. Welche Möglichkeiten bieten sich an, um mit frei zugänglichen Werkzeugen Ziele…

[…]

Blog

Hackernews aus April 2015

So, dieser Monat hatte es bereits am Anfang in sich. 1. Ein Hackerangriff auf das Weiße Haus wurde überall gemeldet. Soll wohl schon etwas zurückliegen? Hat mich aber nicht so wirklich interessiert. Wenn es denn so war, dann sind die Cyberverteidigungsmöglichkeiten in…

[…]

Blog

Hackernews im März 2015

Der März war im Hackingbereich eigentlich ziemlich langweilig. Interessant waren im Grunde nur politische Entwicklungen im Bereich TMG, IT-Sicherheitsgesetz und die Diskussion um den Hackerparagrafen. 1. Hackerparagraf sinnlose Verschärfung. 2. US-Behörden wollen Hack von E-Mail-Providern aufgedeckt haben. 3. Der Untergrund bzw. DarkNet-Marktplatz Evolution scheint geschlossen…

[…]

Blog

Hackernews im Februar 2015

Der Februar war im Bereich Hacking und IT-Sicherheit auch ein spannender Monat. Chinesische Hacker haben eine Schwachstelle auf der Webseite von Forbes ausgenutzt, um Firmen (Banken und Rüstungskonzerne) auszuspionieren. In diesen Bereichen würde ich als verantwortlicher Sicherheitsbeauftragter relativ gründlich sein: Kein Surfen…

[…]

Blog

999.999,99 $

In meinem Beitrag Techreligion mit Bezahlfunktion vom 23.09.2014 habe ich über die Bezahlfunktion per NFC bei Apple und Kreditkarten/EC-Karten abgelästert und auf die Unsicherheiten bei so einer technischen Möglichkeit hingewiesen. Nicht jeder war damit einverstanden. Aber, wie es immer so geht *arrogant…

[…]

Blog

Firmen-Fingerprint anhand einer Stellenanzeige (Update)

Viele Unternehmen schreiben sehr viele Informationen in Ihre Stellenausschreibungen. Das hat natürlich einen ganz simplen Grund: Sie wollen Leute, die mit der bereits eingesetzten Technik umgehen können. Das erspart zusätzliche Schulungen, Zertifizierungen und Einweisungen. Einige Firmen schreiben viele Informationen in Stellenanzeigen, weil…

[…]