Hinter der unscheinbaren Bezeichnung CVE-2021-442281 versteckt sich eine schwerwiegende Schwachstelle in der Java-Komponente Log4J2. Der Fehler besteht darin, dass diese Logdaten nicht nur liest oder schreibt sondern auch interpretiert und Anweisungen zum Nachladen von Programmcode ausführt. So wird aus einer Logzeile ein Programm, das im Kontext der jeweiligen Software, des Dienstes oder Anwenders ausgeführt wird. Read more

Vor 10 Jahren erblickte das Buzzword und Digitalisierungsprojekt “Industrie 4.0” das Licht der Welt mit nichts weniger im Sinn als der Absicht, eine vierte industrielle Revolution loszutreten.1 Revolution als Begriff und Bild ist natürlich gaga. Wer auch nur einen Hauch an Ahnung hat weiß, Digitalisierung gleicht eher einem Marathon mit vielen Zwischenetappen und fällt nicht von heute auf morgen vom Management verordnet auf ein Unternehmen. Read more

Vor einigen Monaten habe ich von kyrillischen Buchstaben in Spam- und Phishingmails geschrieben, die leicht mit unseren lateinischen verwechselt werden können.1 Diesen Gedanken haben Ross Anderson und Nicholas Boucher in Ihrem Paper “Trojan Source: Invisible Vulnerabilities” weiter ausgeführt2 und auf diverse Compiler, Editoren und Tools in der Softwareentwicklung geschaut. Read more

Fest verkabelte Netzwerke werden üblicherweise mit zahlreichen Sicherheitsmerkmalen bedacht. Bei Drahtlosnetzwerken hingegen bleiben Admins oft blind gegenüber Einbruchsversuchen, die sich dank kostengünstiger Gadgets auch von Laien durchführen lassen. Abhilfe schafft ein Wireless Intrusion Detection System (WIDS). Klingt teuer, ist es aber nicht. Ein Raspi, ein WLAN-Stick und freie Open-Source Software reichen aus. Read more