scip AG

News

29.04.2013 – CVSS Maps in VulDB verfügbar

Mitunter wird in der hauseigenen Verwundbarkeitsdatenbank das Common Vulnerability Scoring System unterstützt. Durch diese Metrik wird es möglich, Schwachstellen bewerten und priorisieren zu können. Neu bieten wir nun ebenfalls sogenannte CVSS Maps, bei denen die CVSS-Attribute den Jahren entsprechend aufgelistet werden. Ein Vergleich verschiedener Schwachstellen ist so unkompliziert möglich.

22.04.2013 – Vortrag zu Security Testing an SGRP Schweiz

Die Sicherheitsgruppe Schweiz (SGRP) besteht aus Datenschutz- und Informatiksicherheitsbeauftragten diverser schweizerischen und internationaler Firmen. Der Verein führt am 07. Mai 2013 die Frühlingsveranstaltung 2013 durch. Beim Credit Suisse Tower in Zürich-Oerlikon wird mitunter Marc Ruef einen Vortrag zu Security Testing einer Bank halten. Anmeldeschluss für Mitglieder der SGRP ist der 30. April 2013.

04.04.2013 – Interview zu Angriff auf Spamhaus

In der heutigen Ausgabe des TagesAnzeiger ist ein Interview von Oliver Kunz erschienen. Unter dem Titel Die Retourkutsche der Spammer erläutert er den Angriff und seine Hintergründe. Technische Details zum besagten Ereignis – zum Beispiel wieso die DNS-Amplification mit DNSSEC so effizient ist – finden sich in unserem Labs Post.

03.04.2013 – Expertenkommentar zu iPhone Apps

In der Tageszeitung 20 Minuten ist ein Beitrag zur Sicherheit von iPhone Apps erschienen. Unter dem Titel iPhone-Apps sind die schlimmsten Schnüffler kommt Stefan Friedli zu Wort, der den App Reputation Report 2013 von Appthority teilweise relativiert. Im besagten Papier werden iPhone Apps ein schlechtes Zeugnis ausgestellt, ohne dabei auf den eigentlichen Funktionsumfang der geprüften Produkte einzugehen. In unserem Labs Post haben wir eine vergleichbare Analyse von Android Apps durchgeführt.

28.03.2013 – Interview zu Malware-Jägern

Die Tageszeitung 20 Minuten berichtet im Beitrag Die Malware-Kreuzritter über anonyme Aktivisten namens Malware Crusaders, die Jagd auf Malware machen. Marc Ruef steht in seinem Expertenkommentar dem anarchistischen Vorgehen unter dem Schlachtruf Malware Must Die kritisch gegenüber. Das Phänomen der Internet Vigilantes ist nicht neu und wurde in den 90er Jahren auf Angriffe auf rechtsradikale und kinderpornografische Seiten fokussiert. Im Gegenzug können eine breitflächige Aufklärung der Benutzer sowie die effizientere Zusammenarbeit der Behörden da ein Mehr an Nachhaltigkeit erreichen lassen.

19.03.2013 – smSS vom 19. März 2013

Auch diesen Monat haben wir den scip monthly Security Summary fertiggestellt. Nicht zu verpassen sind die folgenden redaktionellen Beiträge:

• Android SMS Proxy App von Oliver Kunz
• Risikoseismograph von Flavio Gerbino

Wir wünschen Ihnen viel Erfolg beim Bilderrätsel und dem damit verbundenen Glücksspiel.

15.03.2013 – Technische Details zu Warnung durch MELANI

Es wurde durch MELANI eine Warnmeldung zu einer neuen E-Banking Schadsoftware für Smartphones veröffentlicht. Das durch die Malware genutzt Prinzip haben wir vor einer Woche im Labs-Beitrag Android SMS Proxy App diskutiert. Details zum Konzept sowie technische Informationen zur Implementierung werden für den interessierten Leser bereitgestellt. In der heutigen Ausgabe der Tageszeitung 20 Minuten ist ein Interview zum Thema mit Oliver Kunz zu finden. Wir empfehlen den vorsichtigen Umgang mit verdächtigen Anfragen und zu installierender Software.

14.03.2013 – Interview zu Cybercrime

In der gestrigen Sendung Gerry Web auf Radio 24 wurde Marc Ruef zu aktuellen Geschehnissen im Bereich Cybercrime interviewt. Unter anderem wurde über den aktuellen Datendiebstahl US-amerikanischer Prominenter, Schwachstellen in WhatsApp und die Sicherheit von Mobiltelefonen diskutiert.

19.02.2013 – smSS vom 19. Februar 2013

Auch diesen Monat haben wir den scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Bilderrätsel und dem damit verbundenen Glücksspiel. Ebenso nicht zu verpassen sind die redaktionellen Beiträge zu Sich Zeit nehmen können ist eine Kunst , Java 0day und Sichere und ergonomische Time-outs.

24.01.2013 – Expertenkommentar zu Mega

Im Beitrag So unsicher ist Kim Dotcoms Mega melden sich in der Tageszeitung 20 Minuten verschiedene Sicherheitsexperten zu Wort. Sowohl fehlende Eingabeüberprüfungen aber auch Mängel an den eingesetzten kryptografischen Methoden werden diskutiert. Mitunter äussert sich ebenfalls Marc Ruef zu den Hintergründen des neuen Datendienstes von Kimble. Weitere Informationen zum Thema finden sich im Blog Post Missverständnis Kim Dotcom.

19.01.2013 – smSS vom 19. Januar 2013

Auch diesen Monat haben wir den scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Bilderrätsel und dem damit verbundenen Glücksspiel. Ebenso nicht zu verpassen sind die redaktionellen Beiträge zu Das Jahr fängt ja gut an, Risiken & Handling kritischer Fremdapplikationen, Differenzierte Obskurität, scip IT Security Forecast 2013.

19.12.2012 – smSS vom 19. Dezember 2012

Auch diesen Monat haben wir den scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Bilderrätsel und dem damit verbundenen Glücksspiel. Ebenso nicht zu verpassen sind die redaktionellen Beiträge zu Der Verkehr steht still und NAXSI Open-Source.

23.11.2012 – Artikel zur Mobilität von Mitarbeitern

Die aktuelle Ausgabe von Business Technology beinhaltet den Fachbeitrag mit dem Titel Mobility für die Kunden fordern die Anbieter. Dieser wurde durch Sean Rütschi als Co-Autor verfasst und beschäftigt sich mit der stetigen Technologisierung moderner Geschäftsabläufe.

19.11.2012 – smSS vom 19. November 2012

Auch diesen Monat haben wir den scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Bilderrätsel und dem damit verbundenen Glücksspiel. Ebenso nicht zu verpassen sind das Editorial November steht für hashdays sowie der Beitrag Hashdays Diary 2012.

12.11.2012 – Verwundbarkeitsdatenbank auf Französisch

Einmal mehr wurde die hauseigene Verwundbarkeitsdatenbank um eine weitere Sprache erweitert. Zusätzlich zu Deutsch, Englisch, Italienisch, Spanisch und Schwedisch sind die Informationen nun ebenfalls auf Französisch verfügbar. Die Unterstützung weiterer Sprachregionen ist geplant.

29.10.2012 – Verwundbarkeitsdatenbank auf Englisch

Die freie VulDB samt ihrer Inhalte ist nun auch offiziell in englischer Sprache verfügbar. Damit reiht sich die jüngste Übersetzung zu den Sprachen Deutsch, Italienisch, Spanisch und Schwedisch ein. Der Zugang zu den Datenbeständen wird damit um eine weitere Leserschaft erweitert. Unsere Übersetzer arbeiten auch weiterhin daran, zusätzliche Sprachen erschliessen zu können.

19.10.2012 – smSS vom 19. Oktober 2012

Auch diesen Monat haben wir den scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Bilderrätsel und dem damit verbundenen Glücksspiel. Ebenso nicht zu verpassen sind die redaktionellen Beiträge Meine Verachtung für Datendiebe und Schwachstellen in WhatsApp.

10.10.2012 – Interview zu WhatsApp in 20 Minuten

In der heutigen Ausgabe der Tageszeitung 20 Minuten ist ein Interview von Oliver Kunz erschienen. In diesem äussert er seine Sicherheitsbedenken zu WhatsApp, einer beliebten Alternative zu kostenpflichtigen SMS. Die jeweiligen Risiken müssen ernst genommen und daher eine individuelle Abwägung bezüglich weiterer Nutzung gemacht werden. Eine detaillierte Betrachtung dieses Sachverhalts findet sich in seinem Labs Post.

08.10.2012 – Verwundbarkeitsdatenbank auf Spanisch

Mit Spanisch wurde nun die vierte Sprache der VulDB online geschaltet. Damit werden unsere freien Informationen einem noch breiterem Publikum zur Verfügung gestellt. Unser Team ist täglich darum bemüht, die aktuellsten Schwachstellen zu analysieren und in verschiedenen Sprachen zu dokumentieren. Die Unterstützung zusätzlicher Sprachen ist auch weiterhin geplant.

02.10.2012 – Vortrag zu Firewall Rule Reviews an Hashdays

Zum dritten Mal findet Anfang November die hashdays Security Conference in Luzern statt. Und auch dieses Jahr ist Marc Ruef mit einem Vortrag vertreten. In diesem wird er auf der Basis teilweise veröffentlichter Forschungsarbeiten das Prinzip und die Möglichkeiten systematischer Firewall Rule Reviews illustrieren. Weitere Informationen zum Thema finden sich mitunter in unserem Labs Post.

24.09.2012 – Verwundbarkeitsdatenbank auf Schwedisch

Die VulDB ist nun ebenfalls auf Schwedisch verfügbar. Damit reiht sich eine weitere Sprache in die bestehenden Angebote auf Deutsch und Italienisch ein. Sowohl sämtliche alten als auch alle kommenden Einträge werden jeweils mehrsprachig zur Verfügung gestellt werden. Damit kann die Internationalisierung der scip AG vorangetrieben werden. Weitere Sprachen sind geplant.

19.09.2012 – smSS vom 19. September 2012

Auch diesen Monat haben wir den scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Bilderrätsel und dem damit verbundenen Glücksspiel. Ebenso nicht zu verpassen sind die redaktionellen Beiträge zu 10 Jahre scip AG und Threat Management & Blog Digest August 2012.

18.09.2012 – 10 Jahre scip AG

Die scip AG zelebriert im 2012 ihr 10-jähriges Jubiläum. Am Nachmittag des 18.09.2002 wurde die scip AG feierlich in Zürich gegründet.

Aus einer Idee welche auf

• professioneller Arbeit
• nachhaltiger Planung
• transparenten Arbeitsmethoden
• Produkte Unabhängigkeit
• fairen Anstellungsbedingungen
• interessanten Projekten
• langfristigen Kundenbeziehungen
• und dem Spass an der Arbeit

begonnen hat, ist eine im internationalen Information Security Bereich etablierte Firma erwachsen.

Mit weit über 400 Information Security Projekten und einer treuen Stammkundschaft aus allen Bereichen der Wirtschaft (Banken, Pharma, Behörden, Industrie, Versicherungen, Non-Profit etc.) kann ein überzeugendes Palmares vorgewiesen werden.

Die gleichzeitig aufrechterhaltene tiefe Mitarbeiter-Fluktuation sichert das Know-How und die unschulbaren Erfahrungen innerhalb der Firma und somit auch für unsere Kunden.

Dieses 10 Jahre Jubiläum ist erst ein kleiner Schritt auf unserem weiteren Weg als Firma. Keine Ermüdungserscheinung in Sicht und noch lange nicht alle ins Auge gefassten Ziele erreicht. Wir freuen uns auf die kommenden spannenden Technologien, Mitarbeiter- und Kundenbeziehungen.

12.09.2012 – Artikel zu Webserver-Sicherheit in hakin9

Die aktuelle Ausgabe des internationalen Magazins hakin9 beschäftigt sich mit Server- und Netzwerksicherheit. Darin beschreibt Sean Rütschi im Artikel Sicherheit von Webservern, welche Angriffsmöglichkeiten und Schutzmassnahmen umgesetzt werden können. Administratoren können sich so schnell einen Überblick zum weitreichenden Thema verschaffen.

03.09.2012 – Webseite auf Italienisch verfügbar

Im Zuge der Abdeckung der internationalen Bedürfnisse unserer Kunden, stellen wir grosse Teile unserer Webseite nun ebenfalls in italienischer Sprache zur Verfügung. So sind neben der gesamten VulDB nun ebenfalls Details zum Unternehmen und den Dienstleistungen verfügbar.

21.08.2012 – Expertenkommentar zu Datendiebstahl in Handelszeitung

In der Handelszeitung, Ausgabe 16. August wurde das Thema Datendiebstahl bei Schweizer Banken diskutiert. Darin kam mitunter Marc Ruef als Fachexperte zu Wort, der das grundlegende Problem einer sicheren Umsetzung im Umgang mit Computerdaten anspricht. Seine persönliche Meinung zum Thema Datendiebe hat er jüngst in einem privaten Blog-Post veröffentlicht.

19.08.2012 – smSS vom 19. August 2012

Auch diesen Monat haben wir den scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Bilderrätsel und dem damit verbundenen Glücksspiel. Ebenso nicht zu verpassen sind die redaktionellen Beiträge zu Infosec Konferenzen und Las Vegas 2012 & Erfahrungen aus der InfoSec.

01.08.2012 – Artikel zu Firewall Rule Review in hakin9

In der Juni-Ausgabe des Magazins hakin9 ist ein Artikel von Marc Ruef zum Thema Firewall Rule Review erschienen. In diesem wird das Konzept der systematischen Analyse des Regelwerks und der Konfigurationseinstellungen von Firewall-Systemen diskutiert. Der Beitrag ist in leicht abgewandelter Form ebenfalls als Labs Post verfügbar.

19.07.2012 – smSS vom 19. Juli 2012

Auch diesen Monat haben wir den scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Bilderrätsel und dem damit verbundenen Glücksspiel. Ebenso nicht zu verpassen sind die redaktionellen Beiträge zu Passwörter und ihre Aufbewahrung und Information statt Angst.

17.07.2012 – Interview zur Umgehung der In-App-Käufe in 20 Minuten

Durch gezielte Manipulation des Nutzers können In-App-Käufe über die Apple Devices wie das iPhone, das iPad bis zum iPod touch auf einer emulierten Umgebung und ohne Kosten getätigt werden. Stefan Friedli wurde im Artikel der Tageszeitung 20 Minuten dazu befragt. Artikel 20min im Dossier Apple.

22.06.2012 – VulDB auf Italienisch verfügbar

Unsere oft gelesene und viel zitierte Verwundbarkeitsdatenbank steht per sofort auch auf Italienisch zur Verfügung. Unsere Übersetzer sind darum bemüht, die aktuellsten Schwachstellen zeitnah bereitzustellen. Mitunter kann auf die neuen Einträge auch mittels RSS in der jeweiligen Sprache zugegriffen werden. Seit Anfang 2003 dokumentieren wir regelmässig die wichtigsten Sicherheitslücken in unserer freien Datenbank, um Kunden und Partner bei Recherchen sowie Sicherheitsüberprüfungen zu unterstützen.

19.06.2012 – smSS vom 19. Juni 2012

Auch diesen Monat haben wir den scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Bilderrätsel und dem damit verbundenen Glücksspiel. Ebenso nicht zu verpassen sind die redaktionellen Beiträge zu Einstieg in die Informationssicherheit und IT-Risk Management – Eine Übersicht.

30.05.2012 – Interview zu Flame in 20 Minuten

Auf dem vorläufigen Höhepunkt der Berichterstattung zum neuen Computervirus Flame, erschien in der gestrigen Ausgabe der Tageszeitung 20 Minuten ein Beitrag zum Thema. Im Artikel kommt unter anderem ebenfalls Stefan Friedli zu Wort, der die von den Medien hinaufbeschworenen Horrorszenarien relativiert. Weitere Informationen zum Thema finden sich im aktuellen Labs Post.

22.05.2012 – Expertenkommentar zu RFID-Sicherheit in 20 Minuten

In der heutigen Asugabe der Tageszeitung 20 Minuten ist ein Artikel mit dem Titel Der Dieb von morgen braucht keine Langfinger erschienen. Mitunter kommt dabei Stefan Friedli zu Wort, der auf die Risiken der bargeldlosen Zahlung mittels RFID eingeht. Die Grundlagen entsprechender Angriffsmöglichkeiten haben wir in einem Blog Post zusammengefasst.

19.05.2012 – smSS vom 19. Mai 2012

Auch diesen Monat haben wir den scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Bilderrätsel und dem damit verbundenen Glücksspiel. Ebenso nicht zu verpassen sind die redaktionellen Beiträge zu Was macht ein gutes Firewall-Regelwerk aus? und Schwache Typisierung und ihre Sicherheitsrisiken.

04.05.2012 – Vortrag an SwiNOG#24 zu Firewall Rule Reviews

Am 10. Mai 2012 findet zum 24ten Mal das Treffen der Swiss Network Operators Group (SwiNOG) statt. In Bern werden verschiedene Vorträge zu Themen aus dem Bereich der Informationstechnologie gehalten. Mitunter wird Marc Ruef seine Arbeit mit dem Titel Firewall Rule Modelling and Review vorstellen. In dieser wird unsere Herangehensweise zur systematischen Durchführung von Firewall Rule Reviews demonstriert werden.

19.04.2012 – smSS vom 19. April 2012

Auch diesen Monat haben wir den scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Bilderrätsel und dem damit verbundenen Glücksspiel. Ebenso nicht zu verpassen sind die redaktionellen Beiträge zu Risikomanagement am Beispiel der Kernkraft und Kompromittierung einer Sprachmailbox.

28.03.2012 – Interview zu Sprachmailbox-Sicherheit in Schweizer Fernsehen

In der gestrigen Sendung Kassensturz des Schweizer Fernsehen wurde ein Beitrag zur Kostenfalle einer gehackter Combox ausgestrahlt. In diesem kam ebenfalls Marc Ruef zu Wort, der sich zum Prinzip und den Hintergründen dieser Angriffsform äussert. Der Beitrag kann ebenfalls online gesehen werden. Technische Details zur Angriffstechnik sind im aktuellen Labs Post mit dem Titel Kompromittierung einer Sprachmailbox festgehalten.

26.03.2012 – Expertenkommentar zu Mobiltelefon-Forensik in 20 Minuten

Am Freitag ist in der Tageszeitung 20 Minuten ein Beitrag mit dem Titel So löschen Sie alle Daten von Ihrem Handy erschienen. Das Zurücksetzen entsprechender Geräte ist mit verschiedenen technischen Fallstricken versehen. Mitunter äussert sich dabei ebenfalls Stefan Friedli zu den Risiken der forensischen Datenwiederherstellung auf modernen Smartphones.

19.03.2012 – smSS vom 19. März 2012

Auch diesen Monat haben wir den scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Bilderrätsel und dem damit verbundenen Glücksspiel. Ebenso nicht zu verpassen sind die redaktionellen Beiträge zu Es wäre aufgefallen, das… und Vereinheitlichen von Schwachstellen als Schwachstellenklassen.

05.03.2012 – Erweiterung der VulDB

Unsere freie Verwundbarkeitsdatenbank wurde einer umfangreichen Überarbeitung unterzogen, um den wachsenden Anforderungen unserer Kunden gerecht zu werden. Um die Aktualität und Qualität der Einträge zu verbessern, wurde das Team der Analysten erweitert und die Abläufe für das Anlegen und Erweitern der dokumentierten Schwachstellen optimiert. Davon profitieren ebenfalls RSS- und Twitter-Feed mit den neuesten Meldungen.

19.02.2012 – smSS vom 19. Februar 2012

Auch diesen Monat haben wir den scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Bilderrätsel und dem damit verbundenen Glücksspiel. Ebenso nicht zu verpassen sind die redaktionellen Beiträge zu Wassernaar, Hackerparagraf und totalitäre Systeme und Systematik einer praktikablen Kryptoanalyse.

03.02.2012 – Expertenkommentar zu Facebook in 20 Minuten

In der gestrigen Ausgabe der Tageszeitung 20 Minuten ist der Artikel mit dem Titel Die Facebook-Sperre bröckelt erschienen. Darin kommt Marc Ruef zu Wort und erklärt, warum viele Unternehmen Facebook aus betrieblichen Gründen sperren mussten. Vereinzelte Unternehmen lockern diese Einschränkungen jedoch wieder und sehen sich damit der latenten Gefahr von Angriffen ausgesetzt.

25.01.2012 – Kunst des Penetration Testing auf Bestseller Liste

In der gestrigen Ausgabe der Zeitung Blick am Abend wurde eine Liste mit Beststellern zum Thema Hacker (S. 28) abgedruckt. Darauf hat es ebenfalls Die Kunst des Penetration Testing, das letzte Buch von Marc Ruef, geschafft. Dies erfreut umso mehr, da die Liste eigentlich Bücher zu den kulturellen Aspekten der Hacking-Szene zusammenträgt – Das Buch über Penetration Testing jedoch die systematische Vorgehensweise bei Sicherheitsüberprüfungen dokumentiert. Es hat es deshalb als einziges technisches Buch auf die Liste geschafft.

19.01.2012 – smSS vom 19. Januar 2012

Auch diesen Monat haben wir den scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Bilderrätsel und dem damit verbundenen Glücksspiel. Ebenso nicht zu verpassen sind die redaktionellen Beiträge zu Whitehate und Windows 8 Developer Preview Sicherheit.

03.01.2012 – Zitat des IT Security Forecast in 20 Minuten

Ende des vergangenen Jahres ist der scip IT Security Forecast 2012 erschienen, in dem die Trends für das kommende Jahr dokumentiert werden. Dazu gehören mitunter die auch weiterhin drohenden Risiken, die von Hacktivismus – zum Beispiel durch Anonymous – ausgehen. Ein Teil dieser Trendanalyse wurde nun in der Tageszeitung 20 Minuten zitiert.

30.12.2011 – Neujahres Grüsse

Die scip AG wünscht allen Kunden, Partnern, Lesern und Besuchern einen guten Rutsch in ein neues, spannendes, erfolgreiches und gesundes Jahr 2012. Unsere Prognosen für die kommenden Monate sind im IT Security Forecast 2012 zusammengefasst.

19.12.2011 – smSS vom 19. Dezember 2011

Auch diesen Monat haben wir den scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Bilderrätsel und dem damit verbundenen Glücksspiel. Ebenso nicht zu verpassen sind die redaktionellen Beiträge zu Missverstandene Authentisierungsmechanismen und Vortrag an Symposium von BKA/BLKA/Fedpol.

29.11.2011 – Vortrag an OpenTuesday

Jeden ersten Dienstag im Monat trifft sich die OpenSource Community in der Digicomp zu einem aktuellen Referat und anschliessendem Apéro. Am OpenTuesday des 6. Dezember 2011 in Zürich wird Stefan Friedli einen Vortrag mit dem Titel Offensive Security 101: Sicherheitsüberprüfungen mit Open Source Software (Kurscode: REF-0OTD61) halten. Der Vortrag behandelt die populärsten, frei verfügbaren Tools wie Metasploit, Nmap, SET und zeigt deren konkreten Einsatz im Rahmen von Sicherheitsüberprüfungen.

21.11.2011 – Dokumentation in Welt der Wunder

In der gestrigen Sendung Welt der Wunder wurde auf RTL2 das Thema Cybercrime behandelt. Im ersten Segment wird dabei ebenfalls unser Unternehmen und die bei Sicherheitsüberprüfungen angestrebte Vorgehensweise portraitiert. Ein Online-Stream der Sendung kann auf der Webseite des Senders gesehen werden.

19.11.2011 – smSS vom 19. November 2011

Auch diesen Monat haben wir den scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Bilderrätsel und dem damit verbundenen Glücksspiel. Ebenso nicht zu verpassen sind die redaktionellen Beiträge zu Welches Level von Sicherheit kann man erwarten? und 10 Gründe gegen Short-URLs.

14.11.2011 – Vortrag zu Cloud Computing an Datenschutz-Forum

Am 22. November 2011 findet erneut die Veranstaltung des Datenschutz-Forum Schweiz statt. Die technische Eröffnung dieses Events wird Marc Ruef vornehmen und zum Thema Cloud Computing und IT-Security referieren. Dabei werden in einem ersten Schritt die sicherheitstechnischen Schwierigkeiten des komplexen Themas diskutiert. Anschliessend werden mögliche Massnahmen aufgezeigt, um eben diese Risiken minimieren zu koennen.

04.11.2011 – Artikel zu Cloud Computing in hakin9

In der November-Ausgabe des Security-Magazins hakin9 ist von Marc Ruef der Beitrag mit dem Titel Die Sicherheit von Cloud Computing erschienen. Verschiedene Implementierungen und Produkte führen zu einem undurchsichtigen Konstrukt, das damit ebenfalls in Bezug auf die gegebene Sicherheit schwierig handzuhaben ist. Der Beitrag diskutiert die verschiedenen Architekturen sowie die Risiken, die mit ihnen einhergehen.

31.10.2011 – Vortrag an internationalem Symposium von BKA/LKA/Fedpol

Bundeskriminalamt (BKA), Bayerisches Landeskriminalamt (BLKA), die Fedpol und das Anwenderzentrum (AZO) veranstalten vom 09. bis 10. November 2011 das internationale Symposium Neue Technologien. Der Einsatz von modernen Technologien hat einen nicht zu unterschätzenden Einfluss auf die Arbeit der Strafverfolgungs- und Sicherheitsbehörden. An dieser Veranstaltung wird mitunter Marc Ruef einen Vortrag zum Thema Cybercrime halten, der zwei Fallbeispiele aus unserem Bereich der technischen Forensik illustrieren wird.

19.10.2011 – smSS vom 19. Oktober 2011

Auch diesen Monat haben wir den scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Bilderrätsel und dem damit verbundenen Glücksspiel. Ebenso nicht zu verpassen sind die redaktionellen Beiträge zu Sinnlose Vergleichbarkeit und Eingabeprüfung im Detail.

18.10.2011 – Vortrag an Hashdays in Luzern

Ende Oktober finden zum zweiten Mal die hashdays in Luzern statt. Die Konferenz mit internationaler Ausrichtung zum Thema Security & Risk wartet mit interessanten Persönlichkeiten – beispielsweise Mikko Hypponen und Chris Nickerson – auf. Am Morgen des 29. Oktober hält Marc Ruef zusammen mit Luca Dal Molin einen Vortrag zu Code Plagiarism – Technical Detection and Legal Prosecution, in welchem Code-Diebstahl auf technischer und juristischer Ebene diskutiert wird.

17.10.2011 – Interview zu Staatstrojaner in 20 Minuten

Die letzten Tage beherrschte das Thema Bundestrojaner die Presse. Marc Ruef äussert sich im umfangreichen Interview in der Tageszeitung 20 Minuten zum Thema. Dabei geht er sowohl auf mögliche Ansätze einer technischen Umsetzung als auch auf die Risiken eben dieser ein. Hierbei werden ebenfalls Hintergründe der Herangehensweise unserer sogenannten Backdoor-Tests, die auf dem gleichen Prinzip beruhen, preisgegeben. Eine technische Stellungnahme unsererseits wird diese Woche in einem Labs Post veröffentlicht.

19.09.2011 – smSS vom 19. September 2011

Auch diesen Monat haben wir den scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Bilderrätsel und dem damit verbundenen Glücksspiel. Ebenso nicht zu verpassen sind die redaktionellen Beiträge zu Der Verfasservertrag – Tipps für Autoren und Einführung in httprecon.

06.09.2011 – Vortrag an Swiss Marketing Anlass zu Datenklau

Am Dienstag, den 13. September 2011 findet in Zürich der Anlass der Swiss Marketingleiter statt. An diesem wird Herr Simon Zumstein ein Referat mit dem Titel Datenklau, Viren, Webattacken: Das solltest Du wissen – privat wie geschäftlich halten. Dabei werden aktuelle Angriffstechniken illustriert und mögliche Massnahmen definiert.

19.08.2011 – smSS vom 19. August 2011

Auch diesen Monat haben wir den scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Bilderrätsel und dem damit verbundenen Glücksspiel. Ebenso nicht zu verpassen sind die redaktionellen Beiträge zu Back to the Future und Modell zur Umsetzung von Config Reviews.

18.08.2011 – Interview zu Risikomanagement in Handelszeitung

In der heutigen Ausgabe der Handelszeitung ist der Artikel Projekt Ratoc erschienen. In diesem wird die Risikoanalyse der Schweizer Grossbank Credit-Suisse im Umgang mit Kundendaten und Kundenbeziehungen diskutiert. Zu diesem Zweck kam ebenfalls Marc Ruef zu Wort, der sich allgemein zum Risikomanagement von Schweizer Finanzinstituten äussert.

15.08.2011 – Vortrag an BVM Fachtagung zu Cybercrime

Am 26. August 2011 findet erneut die Fachtagung BVM des Schweizerischen Versicherungsverbands statt. An dieser treffen Schadensexperten verschiedener Versicherungen zusammen, um über aktuelle Fälle von Versicherungsbetrug zu beraten. Dabei wird Marc Ruef einen Vortrag mit dem Titel Cybercrime – Verbrechen im Informationszeitalter halten, in welchem aktuelle Fälle aus dem Bereich der Computerforensik aufgezeigt werden. Die Referate sind aufgrund der Simultanübersetzung sowohl in Deutsch als auch in Französisch verfügbar.

20.07.2011 – Telefon-Hacking in 10vor10 des Schweizer Fernsehen

In der gestrigen Sendung 10vor10 des Schweizer Fernsehen SF, wurde das Thema Telefon-Hacking diskutiert. Auf der Basis der Enthüllungen im News of the World Skandal wurde durch unsere Spezialisten aufgezeigt, inwiefern sich Angriffe mit gefälschten Telefonnummern durchführen lassen. Dazu wurde Stefan Friedli in den Büroräumlichkeiten der scip AG bei der Umsetzung einer erfolgreichen Attacke begleitet.

19.07.2011 – smSS vom 19. Juli 2011

Auch diesen Monat haben wir den scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Bilderrätsel und dem damit verbundenen Glücksspiel. Ebenso nicht zu verpassen sind die redaktionellen Beiträge zu Eine Bewertung ohne Definition erzwingt Relativität und Gedanken zum Tainted Mode in der Programmierung.

26.06.2011 – Interview zu ICANN-Entscheid in SonntagsZeitung

In der heutigen Ausgabe der SonntagsZeitung kommt Marc Ruef zu Wort. In seinem Interview äussert er sich in kritischer Weise zum ICANN-Entscheid zur Zulassung beliebiger Top-Level-Domains. Dabei geht es mitunter um die erweiterten Möglichkeiten zur Umsetzung von Phishing- und Pharming-Attacken. In den kommenden Wochen wird ein technischer Artikel zu diesem Thema in unserem Labs Blog publiziert werden.

25.06.2011 – Expertenkommentar zu Telefonsicherheit in 20 Minuten

Aufgrund einer Zunahme von Angriffen gegen Telefonsysteme berichtet die Schweizer Tageszeitung 20 Minuten. Für den Artikel mit dem Titel Polizei warnt vor Telefon-Hackern wurde Marc Ruef interviewt, der sich zu möglichen Hintergründen und Auswirkungen äussert. Besonders kleinere und mittlere Unternehmen können Opfer klassischer Angriffstechniken werden.

21.06.2011 – Interview zu Kursfall von Bitcoin in 20 Minuten

In der heutigen Ausgabe der Tageszeitung 20 Minuten wird im Artikel mit dem Titel Cyber-Dollar schmiert ab über den Datendiebstahl im Bitcoin-Netzwerk und dem damit verbundenen Kursfall berichtet. In diesem Beitrag kommt ebenfalls Marc Ruef zu Wort, der sich schon vor einigen Wochen zur virtuellen Währung – ihren Möglichkeiten und Risiken – geäussert hat.

19.06.2011 – smSS vom 19. Juni 2011

Auch diesen Monat haben wir den scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Bilderrätsel und dem damit verbundenen Glücksspiel. Ebenso nicht zu verpassen sind die redaktionellen Beiträge zu Hardening Massnahmen vs. Audit Gegenmassnahmen und Top 5 Stupid Captcha Implementations.

08.06.2011 – Vortrag an BSides Vienna über Penetration Testing

Am 18. Juni 2011 findet in Wien die BSides Vienna statt. Im Rahmen derer hält Stefan Friedli einen Vortrag mit dem Titel THE 99c HEART SURGEON – How to fix penetration testing. In diesem geht es um die Missstände im Fachbereich Penetration Testing, die mitunter auf irrationale Missverständnise und fehlende Qualitätsstandards zurückzuführen sind.

07.06.2011 – Interview zu Bitcoin in 20 Minuten

In der heutigen Ausgabe der Tageszeitung 20 Minuten wird die virtuelle Währung Bitcoin durchleuchtet. Im Beitrag mit dem Titel Der gefährliche Cyber-Dollar kommt Marc Ruef zu Wort und klärt über Abhängigkeit sowie Gefährlichkeit des vieldiskutierten Systems auf. Er vertritt dabei die Meinung vieler Experten, die der Lösung eher kritisch gegenüberstehen.

06.06.2011 – Interview in Eurotrash Information Security Podcast

Mit dem Eurotrash Information Security Podcast wird ein auf Europa ausgerichteter Podcast bereitgestellt. In der aktuellen Episode 22 ist Stefan Friedli zu Gast. Er erzählt von seiner Arbeit am Penetration Testing Execution Standard und der Hashdays Security & Risk Conference sowie seiner Teilnahme als Speaker an verschiedenen Konferenzen dieses Jahr (BSidesVienna, Brucon, DerbyCon).

31.05.2011 – Vortrag an ISSS Tagung zum Thema Soziale Netzwerke

Am 08. Juni 2011 findet im IBM Forum die Zürcher Tagung der ISSS – Information Security Society Switzerland statt. An dieser wird Marc Ruef einen Vortrag mit dem Titel Soziale Netzwerke – Vielschichtige Gefahren eines neuen Zeitalters halten. Dabei werden auf drohende Risiken für Unternehmen sowie mögliche Schutzmassnahmen eingegangen. Die Keynote der Veranstaltung wird durch Isabelle Welton (CEO, IBM Schweiz) gehalten werden. Weitere Informationen finden sich im offiziellen Flyer.

24.05.2011 – Expertenkommentar zu LinkedIn-Schwachstelle in 20 Minuten

Die Tageszeitung 20 Minuten diskutiert in ihrem Artikel Hintertür ein Jahr lang offen für Kriminelle eine jüngst publik gewordene Schwachstelle in der Plattform LinkedIn. Im Rahmen dieses Beitrags kommt ebenfalls Marc Ruef zu Wort, der auf technische Hintergründe und Auswirkungen einer durchgängigen SSL-Lösung eingeht.

23.05.2011 – Expertenkommentar für 20 Minuten zu Android-Sicherheit

Erneut wurde die scip AG von der Tageszeitung 20 Minuten zu aktuellen Geschehnissen im Bereich der Computersicherheit befragt. Im Bericht 9 von 10 Android-Nutzern droht Datenklau wird über die jüngste Schwachstelle in der Authentisierung von Android-Geräten berichtet. Angreifer können Zugriffe auf zentrale Google-Dienste mitlesen und so die entsprechenden Zugangsdaten missbrauchen.

19.05.2011 – smSS vom 19. Mai 2011

Auch diesen Monat haben wir den scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Bilderrätsel und dem damit verbundenen Glücksspiel. Ebenso nicht zu verpassen sind die redaktionellen Beiträge zu Was macht eigentlich ein Security Consultant? und iPhone Forensik.

18.05.2011 – Expertenkommentar auf 20 Minuten zu iPhone-Forensik

Die Zeitung 20 Minuten berichtet in ihrem Artikel Keine Zeit, den eigenen Schwanz zu jagen von den aktuellen Möglichkeiten der Forensik auf iPhone-Geräten. In diesem Zusammenhang wird ebenfalls Marc Ruef zitiert und auf unseren aktuellen Labs-Post zum Thema verwiesen.

11.05.2011 – Webseite auch auf Englisch verfügbar

Die Unternehmenswebseite der scip AG ist neu auch auf Englisch verfügbar. Dies kann durch den direkten Aufruf von www.scip.ch/en/ gesehen werden. Die neue Auswahl im Menu auf der linken Seite erlaubt das Umschalten zwischen den Sprachen. Es stehen zur Zeit in erster Linie die zentralen Informationen zum Unternehmen in den jeweiligen Sprachen zur Verfügung.

05.05.2011 – Expertenkommentar für 20 Minuten zu Spyware

In der heutigen Donnerstagsausgabe der Tageszeitung 20 Minuten wurde Marc Ruef der scip AG interviewt. Der Artikel mit dem Titel Wenn der Exfreund zum Spion wird setzt sich mit technischen Angriffen auf die Privatsphäre von Ehepartnern auseinander. Dabei wird ein Fall eines möglichen Spyware-Angriffs zusammengefasst.

29.04.2011 – Expertenkommentar für Schweizer Fernsehen zu Sony

In der gestrigen Sendung 10vor10 ist Marc Ruef als Experte zum Hacker-Angriff gegen das Playstation Network (PSN) von Sony befragt worden. Dabei wurden die möglichen Hintergründe und Auswirkungen des Diebstahls von rund 77 Millionen Kundendaten eingegangen. Die Sendung kann im VideoPortal des Schweizer Fernsehen gesehen werden. Weitere Details zum Thema finden sich im aktuellen Labs-Post.

19.04.2011 – smSS vom 19. April 2011

Auch diesen Monat haben wir den scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Bilderrätsel und dem damit verbundenen Glücksspiel. Ebenso nicht zu verpassen sind die redaktionellen Beiträge zu Das Gesetz ist stumm und Kompromittierung von RSA – Fakten und Einschätzung.

18.04.2011 – Webseite auch über HTTPS/SSL erreichbar

Auch wenn wir darauf verzichten, in den öffentlichen Bereichen der Unternehmenswebseite sensitive Daten bereitzustellen, haben verschiedene Kunden dennoch um eine Unterstüzung von HTTPS/SSL auf www.scip.ch gebeten. Durch den regulären Aufruf von https://www.scip.ch kann nun in verschlüsselter Weise auf die Seiten zugegriffen werden. Damit werden zusätzliche Sicherheit und Privatsphäre beim Browsen gewährleistet.

11.04.2011 – Penetration Testing Execution Standard Panel an SOURCE Boston

Stefan Friedli der scip AG wird an der SOURCE Boston im US-Bundesstaat Massachusetts gemeinsam mit drei weiteren Gründern des Projektes – Chris Nickerson, Ian Amit und Wim Remes -, eine Paneldiskussion zum Penetration Testing Execution Standard ausrichten. Dabei soll der derzeitige Stand der Arbeiten präsentiert und der direkte Dialog mit den Verantwortlichen ermöglicht werden. Details zum Panel sind online verfügbar.

06.04.2011 – Computerworld berichtet über Vortrag der scip AG

Der Vortrag unseres Stefan Friedli an der Tagung des Information Center und IT-Services Manager Forum Schweiz in Zürich wird mitunter auf Computerworld.ch besprochen. Dabei wird auf die Hintergründe des erfolgreichen Angriffs auf das US-amerikanische Sicherheitsunternehmen HBGary eingegangen. Die Präsentations-Folien dieses Talks werden in den kommenden Tagen in den scip Labs veröffentlicht.

04.04.2011 – Aktualisierte Informationen zu RSA Zwischenfall

Nach dem Bekanntwerden des Datendiebstahls um RSA SecurID haben wir einen Labs Beitrag mit Fakten und Einschätzung diesbezüglich publiziert. Zwischenzeitlich wurden neue Hintergrundinformationen dazu bekannt, die ihrerseits in den besagten Artikel eingeflossen sind. Dazu gehören Details zur Umsetzung der Attacke sowie Mutmassungen bezüglich der daraus resultierender Angriffe/Exploits.

30.03.2011 – Erweiterung der NASLDB

Wir stellen online mit NASLDB eine freie Datenbank der offiziell verfügbaren Nessus Plugins bereit. Die Details der jeweiligen Einträge wurde nun um die folgenden Daten erweitert:

• CVSS (Base und Temporal Vectors)
• Exploiting (Verfügbarkeit, Einfachheit)
• Timeline (Disclosure, Patch, Plugin)
• Plugin (Dateigrösse, MD5 Hash, Identifikationsmerkmale)

Die neu veröffentlichten NASL-Plugins können ebenfalls im RSS-Feed und auf Twitter eingesehen werden.

25.03.2011 – Vortrag “Real World Attacks” an ICMF/ITS Tagung

Stefan Friedli der scip AG wird an der ITMS/ICF Tagung vom 31. März 2011 einen Vortrag mit dem Titel Angriffe in der realen Welt halten. Der Beitrag eröffnet die Tagung, die unter dem Motto IAM & SIEM – IT-Compliance-Management der Zukunft steht.

24.03.2011 – Expertenkommentar zu RSA in 20 Minuten

Der Datendiebstahl im Rahmen von RSA SecurID beschäftigt Kunden und Medien gleichermassen. Unser Stefan Friedli ist in der Mittwochsausgabe der Gratiszeitung 20 Minuten mit einem Expertenkommentar zum Fall vertreten (Online-Version). Dabei geht er auf mögliche Hintergründe und Szenarien des Zwischenfalls ein. Weitere Details zum Incident haben wir in einem Labs Beitrag zusammengefasst.

19.03.2011 – smSS vom 19. März 2011

Auch diesen Monat scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Bilderrätsel und dem damit verbundenen Glücksspiel. Ebenso nicht zu verpassen sind die redaktionellen Beiträge zu Meine kurze Geschichte des Security Testing und HTTP Request Header Tagging.

25.02.2011 – Uni Regensburg führt Forschung der scip AG weiter

Die Universität Regensburg hat Informationen zu einer weiterführenden Angriffstechnik auf das Kryptosystem X-pire! veröffentlicht. Die vorgestellte Methode mit dem Namen Streusand basiert teilweise auf der Forschungsarbeit der scip AG, die eine grosse mediale Aufmerksamkeit auf sich gezogen hat. Durch das Erweitern des offiziellen Browser-Plugins und das Nutzen eines autonomen Schlüsselservers kann damit ebenfalls auf abgelaufene Bilder zugegriffen werden.

23.02.2011 – Radiointerview zur Zensur in Unterdrückungsstaaten

Im Zuge der Revolutionen in der Arabischen Welt hat Marc Ruef ein Interview für Radio DRS 4 News gegeben. In diesem erklärte er die technische Funktionsweise eines solchen Zensurapparats und wie die technischen Einschränkungen umgangen werden können. Weitere Informationen zu den skizzierten Techniken finden sich in seinem letzten Buch Die Kunst des Penetration Testing.

19.02.2011 – smSS vom 19. Februar 2011

Auch im neuen Jahr haben wir unseren scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Bilderrätsel und dem damit verbundenen Glücksspiel. Ebenso nicht zu verpassen sind die redaktionellen Beiträge zu Die Mär vom Nur-Pentester und Erfolgreicher Angriff gegen X-pire!.

02.02.2011 – Medien besprechen Forschungsarbeit der scip AG

Die scip AG hat zu Beginn dieser Woche eine praktikable Angriffstechnik auf das deutsche Kryptosystem X-pire! vorgestellt. Dieses Thema wurde durch verschiedene Medien aufgegriffen. Unter anderem haben Heise und Golem darüber berichtet. Ebenfalls ist in der Tageszeitung 20 Minuten ein Interview dazu erschienen.

19.01.2011 – smSS vom 19. Januar 2011

Auch im neuen Jahr haben wir unseren scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Bilderrätsel und dem damit verbundenen Glücksspiel. Ebenso nicht zu verpassen sind die redaktionellen Beiträge zu IT-Security: Das Spiel mit der Angst und scip IT Security Forecast 2011.

17.01.2011 – Optimierung der Reference Maps

Durch die Optimierung unserer Suchalgorithmen sind die Reference Maps der VulDB nun praktisch vollständig. Für alle grossen Verwundbarkeitsdatenbanken werden nun die jeweiligen IDs geführt, wodurch eine Recherche effizient umsetzbar ist. Die Reference Maps können nun ebenfalls dediziert ausgelesen werden.

24.12.2010 – Festtage und Neujahr

Die scip AG wünscht an dieser Stelle allen Kunden, Partnern, Lesern und Besuchern erholsame Feiertage und einen guten Rutsch in eine neues, erfolgreiches und gesundes Jahr 2011.

20.12.2010 – Expertenkommentar in Sonntagszeitung

In der gestrigen Ausgabe der Sonntagszeitung fand sich ein Bericht mit dem Titel Piratenpartei reicht Strafanzeige gegen die Post ein, in welchem mitunter die DDoS-Attacken gegen Postfinance behandelt werden. Zu diesem Thema wurde ebenfalls unser Marc Ruef interviewt, der mit einem Zitat erwähnt wird. Dieser Artikel kann ebenfalls als kostenpflichtiges ePaper online gelesen werden.

19.12.2010 – smSS vom 19. Dezember 2010

Wie jeden Monat haben wir auch im Dezember 2010 unseren scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Bilderrätsel und dem damit verbundenen Glücksspiel. Ebenso nicht zu verpassen sind die redaktionellen Beiträge zu Die Zukunft der angewandten IT-Sicherheit und LOIC-Attacken abwehren – DDoS im Umfeld von Wikileaks.

17.12.2010 – Aktualisierung und Erweiterung Reference Maps

Die Reference Maps unserer freien Verwundbarkeitsdatenbank wurden heute aktualisiert und erweitert. Zusätzlich stehen nun ebenfalls Online-Exports im CSV-Format bereit. Gegenwärtig werden Mappings für CVE, OSVDB und Secunia unterstützt. Dadurch kann komfortabel auf die Einträge unterschiedlicher Datenbanken verwiesen werden.

06.12.2010 – Webdienste auf neuer Hardware

Seit vergangenem Wochenende werden unsere Webdienste auf einer komplett neuen Hardware betrieben. Damit kann eine höhere Performance gewährleistet werden, die zum Beispiel bei Suchabfragen in der umfangreichen VulDB von Nutzen sind. Besuchen Sie unsere Hauptseiten unter:

• www.scip.ch – Firmenseite
• labs.scip.ch – Labs Blog
• vuldb.scip.ch – Verwundbarkeitsdatenbank

19.11.2010 – smSS vom 19. November 2010

Wie jeden Monat haben wir auch im November 2010 unseren scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Bilderrätsel und dem damit verbundenen Glücksspiel. Ebenso nicht zu verpassen sind die redaktionellen Beiträge zu Geschlossene Systeme und ihre Zukunft am Beispiel des iPhone und Walled-Garden – Ziele und Möglichkeiten.

28.10.2010 – Ankündigung Labs Diary für Hashdays 2010

Unser Marc Ruef wird an den diesjährigen Hashdays in Luzern einen Vortrag mit dem Titel Nmap NSE Hacking for IT Security Professionals halten. In diesem werden die Möglichkeiten von NSE-Skripts bei Sicherheitsüberprüfungen im professionellen Umfeld diskutiert. Im Rahmen der Konferenzteilnahme werden wir vom 04.-06. November täglich die Ereignisse in einem Diary-Artikel in den scip Labs zusammenfassen.

• Tag 0: Anreise und Abendessen
• Tag 1: Erste Vorträge und Treffen
• Tag 2: Mein Vortrag und Rückreise

19.10.2010 – smSS vom 19. Oktober 2010

Wie jeden Monat haben wir auch im Oktober 2010 unseren scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Bilderrätsel und dem damit verbundenen Glücksspiel. Ebenso nicht zu verpassen sind die redaktionellen Beiträge zu Hat “Hacking” etwas mit Kreativität zu tun und Kryptoanalyse von Session-IDs.

19.09.2010 – smSS vom 19. September 2010

Wie jeden Monat haben wir auch im September 2010 unseren scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Bilderrätsel und dem damit verbundenen Glücksspiel. Ebenso nicht zu verpassen sind die redaktionellen Beiträge zu Die Angst eines jeden Penetration Testers und Vulnerability Scan – Qualität und Evaluation.

18.09.2010 – 8 Jahre scip AG

Heute feiern wir das achtjährige Bestehen der Firma scip AG!

Wir sind sehr stolz in den vergangenen acht Jahren eine der renommiertesten Information Security Firmen der Schweiz etabliert zu haben. Mehr als 400 Projekte für unsere zufriedenen und treuen Kunden sind ein eindeutiger Erfolgsausweis.

Wir möchten diese Gelegenheit nutzen, um unseren Kunden für die erfolgreiche Zeit, die anregende Zusammenarbeit und das in uns gesetzte Vertrauen zu danken.

Wir freuen uns auf weitere spannende Projekte!

23.08.2010 – scip AG sucht neue Mitarbeiter

Hervorragende Leistung kann nur durch ein hervorragendes Team entstehen. Die scip AG verfolgt seit ihrer Gründung in 2002 eine konstante, qualitätsorientierte Personalpolitik, bei der die Nutzung und Förderung individueller Fähigkeiten und Talente im Vordergrund steht.

Zur Erweiterung unseres Teams suchen wir:

• Security Consultant (Senior) 100%
• Security Consultant (Junior) 100%

Die Umsetzung unserer Kundenprojekte verlangt ein Höchstmass an Fachwissen. Überzeugen Sie uns!

Details zu unserem eigenen Recruitment Prozess und wie Sie uns überzeugen können, dass Sie genaue der oder die Richtige sind, finden Sie auf unserer Webseite. Selbstverständlich werden alle Eingänge streng vertraulich behandelt.

19.08.2010 – smSS vom 19. August 2010

Wie jeden Monat haben wir auch im August 2010 unseren scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Bilderrätsel und dem damit verbundenen Glücksspiel. Ebenso nicht zu verpassen sind die redaktionellen Beiträge zu Das Pentesting Experten System und HTML5 Cross Origin Request Sicherheit.

10.08.2010 – Vortrag zu NSE-Skripting an Hashdays Conference

Marc Ruef, CTO der scip AG, wird einen Vortrag an der diesjährigen Hashdays Security & Risk Conference halten. Diese findet vom 3. bis 6. November 2010 im Radisson BLU Hotel in Luzern statt. Das Thema des Vortrags wird die Vorstellung unseres Penetration Testing Experten Systems sowie die Automatisierung dessen mittels nmap nse Scripting sein. Bisher sind weitere bekannte Speaker, wie zum Beispiel Alexander Kornbrust und Harald Welte, bestätigt.

• Abstract & Announcement
• Ankündigung auf Twitter

03.08.2010 – Aktualisierung der VulDB Refmaps

Es gibt verschiedene Hersteller und Anbieter, die ihre eigene Datenbanken für Verwundbarkeiten betreiben. Dabei werden jeweils individuelle Identifikatoren für die gleiche Schwachstelle benutzt. In unserer hauseigenen Verwundbarkeitsdatenbank bieten wir Reference Maps an, welche die unterschiedlichen IDs untereinander verlinkt, wodurch eine Recherche erleichtert werden kann. Diese Refmaps wurden umfassend aktualisiert.

19.07.2010 – smSS vom 19. Juli 2010

Wie jeden Monat haben wir auch im Juli 2010 unseren scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Bilderrätsel und dem damit verbundenen Glücksspiel. Ebenso nicht zu verpassen sind die redaktionellen Beiträge zu Infiltration eines Netzwerks und Native Word Makro Backdoor Image Autosize Probleme.

12.07.2010 – Veröffentlichung von zwei Advisories

Die scip AG hat diese Tage gleich zwei 0-Day Schwachstellen gefunden und entsprechende Advisories publik gemacht. Einerseits ist dies eine Denial of Service-Schwachstelle in der Chat-Funktion von Skype für MacOS X. Andererseits eine Denial of Service-Schwachstelle in Grabit, einem populären Usenet-Client. Weitere Informationen sowie technische Details zu den Sicherheitslücken finden sich in den Advisories sowie unserer Verwundbarkeitsdatenbank.

06.07.2010 – Artikel zu Facebook auf Kroatisch erschienen

In der aktuellen Ausgabe des Magazins für croatia.ch haben wir einen Artikel beigesteuert. Dieser diskutiert in übersichtlicher Weise die (sicherheitsrelevanten) Vor- und Nachteile von Facebook als Social Network. Als Eigenheit des Magazins ist es, dass sämtliche Artikel sowohl in Deutsch als auch in Kroatisch erscheinen. Eine Kopie dieses Beitrags kann auf unserer Webseite heruntergeladen werden.

19.06.2010 – smSS vom 19. Juni 2010

Wie jeden Monat haben wir auch im Juni 2010 unseren scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Bilderrätsel und dem damit verbundenen Glücksspiel. Ebenso nicht zu verpassen sind die redaktionellen Beiträge zu Des Teufels Zahl und Nmap NSE Vulscan Script.

10.06.2010 – Vortrag zu Cloud Computing am ISMS Praxis Forum

Unser Herr Marc Ruef wird am Donnerstag, den 17. Juni 2010 einen Vortrag am ISMS Praxis Forum halten. Dieser trägt den Titel 10 sicherheitsrelevante Gründe gegen Cloud Computing und wird sich kritisch mit dem noch jungen Trend der IT-Branche auseinandersetzen. Der Vortrag findet von 11:10 bis 11:50 Uhr im Swisscom Conference Center in Olten statt. Wir freuen uns, Sie bei diesem Event begrüssen zu dürfen. Die Präsentationsfolien werden hier bereitgestellt.

07.06.2010 – Vulnerability Scan Modul für nmap

Die scip AG hat ein Modul für den populären Portscanner nmap veröffentlicht. Durch dieses wird die zusätzliche Möglichkeit eines Vulnerability Scanners geschaffen. Durch einen nmap-Scan können nun also neben offenen Ports und angebotenen Diensten ebenfalls Schwachstellen in den eingesetzten Produkten erkannt werden. Zur Zeit wird diskutiert, inwiefern diese Funktionalität in die offizielle Distribution von nmap übernommen werden will. Technische Hintergründe und den Download-Link finden sich in unserem Blog-Beitrag.

19.05.2010 – smSS vom 19. Mai 2010

Wie jeden Monat haben wir auch im Mai 2010 unseren scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Bilderrätsel und dem damit verbundenen Glücksspiel. Ebenso nicht zu verpassen sind die redaktionellen Beiträge zu Potentielle, existente, ausnutzbare oder ausgenutzte Schwachstellen und Technische Bild-Forensik.

17.05.2010 – Veröffentlichung von httprecon für nmap nse

Das httprecon project ist darum bemüht, eine Implementierung zur automatisierten Identifikation von Webserver-Implementierungen zu entwickeln. Ursprünglich wurde die Software für Windows realisiert. Letzte Woche wurde eine nmap nse-Portierung veröffentlicht, die eine automatisierte Einbindung in nmap-Scans ermöglicht. Damit kann die Professionalisierung von Vulnerability Scans und Penetration Tests weiter vorangetrieben werden.

14.05.2010 – Schwachstelle in Skype gefunden

Marc Ruef und Stefan Friedli der scip AG haben eine Schwachstelle in Skype gefunden. Durch den Versand spezieller Unicode-Zeichen innerhalb des Chats können die Client-Versionen für MacOS X zum Absturz gebracht und beim iPhone ein Fehlverhalten provoziert werden. Der Hersteller wurde über einen Bug Report informiert. Hinweise zur Reproduzierung der Schwachstelle sind im Posting enthalten.

04.05.2010 – Blog Digest als RSS Feed

Seit Beginn dieses Jahres veröffentlichen wir in unserem Labs Blog jeweils Ende des Monats einen sogenannten Blog Digest. In diesem werden die interessantesten Beiträge der IT Security Blogosphäre zusammengefasst. Diese Übersicht lässt sich nun ebenfalls als RSS-Feed abonnieren. Damit bleiben Sie immer am Ball!

19.04.2010 – smSS vom 19. April 2010

Wie jeden Monat haben wir auch im April 2010 unseren scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Bilderrätsel und dem damit verbundenen Glücksspiel. Ebenso nicht zu verpassen sind die redaktionellen Beiträge zu Von Zensur und Doppelmoral und txsBBSpy – Spyware für BlackBerry: Eine Analyse.

06.04.2010 – Aktualisierung des IT Security Forecast 2010

Ende Dezember des letzten Jahres haben wir in einem IT Security Forecast 2010 die Voraussagen für das neue Jahr getroffen. Dabei sind aktuelle Themen wie Cloud Computing, Mobile Security und soziale Netzwerke behandelt worden. Einige von diesen Voraussagen sind mittlerweile eingetreten. Sie werden in der aktualisierten Fassung des Blog-Beitrags aufgelistet und um entsprechende Quellenangaben erweitert.

19.03.2010 – smSS vom 19. März 2010

Wie jeden Monat haben wir auch im März 2010 unseren scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Glücksspiel. Ebenso nicht zu verpassen sind die Beiträge zu elektronischer Einbruchserkennung und generischen Nessus-Plugins.

08.03.2010 – Reference Maps der VulDB

In der Verwundbarkeitsdatenbank werden sogenannte Reference Maps angeboten. Hierbei findet eine Zuweisung einer Schwachstelle zu verschiedenen Datenbanken statt. Durch eine klare Identifikation werden damit Nachforschungen zu den jeweiligen Problemen vereinfacht. Es wurden nun sämtliche Referenzen freigegeben und diese können nun direkt für jedes einzelne Jahr angezeigt werden.

19.02.2010 – smSS vom 19. Februar 2010

Wie jeden Monat haben wir auch im Februar 2010 unseren scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Glücksspiel. Ebenso nicht zu verpassen sind die Beiträge zu Risikoanalysen und zu Operation Aurora.

02.02.2010 – Erweiterung der VulDB

Die Verwundbarkeitsdatenbank wurde in mancherlei Hinsicht erweitert. Vor allem die Feeds wurden in Bezug auf Informationsgehalt und Performance optimiert. So wird beispielsweise nun auf Twitter ebenfalls die Risikoeinstufung des jeweiligen Eintrags vermerkt. Und einmal im Monat werden zusätzlich statistische Daten getwittert.

25.01.2010 – Vergabe von Invitation Codes für iiScan

Im aktuellen Blog-Eintrag unserer Research Labs diskutieren wir iiScan, einen freien Web Scanner. Die Nutzung dessen erfordert einen Invitation Code, der durch bestehende Anwender in einer limitierten Anzahl generiert werden kann. Wir werden in den folgenden Tagen unsere Codes über Twitter bekanntgeben. Falls Sie an iiScan interessiert sind, folgen Sie uns auf Twitter.

19.01.2010 – smSS vom 19. Januar 2010

Wie jeden Monat haben wir auch im Januar 2010 unseren scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Glücksspiel. Ebenso nicht zu verpassen ist unser IT-Security Forecast 2010 und der Beitrag zur iPhone Backdoor.

11.01.2010 – Nennung in IT-Securitypodcast von Thomas Hillebrand

Der neue Podcast von Thomas Hillebrand widmet sich dem Thema IT-Security. In der ersten Folge wird das Editorial unseres smSS vom Dezember 2009 als Ausgangslage genommen, um der Berichterstattung bezüglich einem vermeintlichen Cyberwar aus Nordkorea kritisch gegenüberzustehen. Wir bedanken uns bei Herrn Hillebrand für die Nennung im Podcast und wünschen den Zuhörern viel Vergnügen.

23.12.2009 – Festtage und Neujahr

Die scip AG wünscht an dieser Stelle allen Kunden, Partnern, Lesern und Besuchern erholsame Festtage und einen guten Rutsch in eine neues, erfolgreiches und gesundes Jahr 2010.

18.12.2009 – smSS vom 18. Dezember 2009

Aufgrund der anstehenden Festtage veröffentlichen wir im Dezember 2009 unseren scip monthly Security Summary einen Tag früher. Wir wünschen Ihnen viel Erfolg beim Glücksspiel. Ebenso nicht zu verpassen ist der Artikel über die 10 sicherheitsrelevante Gründe gegen Cloud Computing und der Erfahrungsbericht aus dem Leben eines scip AG Security Consultant – Cyberwar aus Nordkorea: Artikel richtig lesen.

16.12.2009 – OSVDB unterstützt offiziell scip VulDB

Die OSVDB gilt mittlerweile mit über 60’000 Einträgen als grösste Verwundbarkeitsdatenbank. Die jeweiligen Einträge verlinken nun offiziell auf unsere scip VulDB, die als grösste deutschsprachige Datenbank gilt. Dadurch werden Recherchen nun noch einfacher. Wir bedanken uns beim OSVDB Team für die angenehme Zusammenarbeit und das hervorragende Projekt.

15.12.2009 – Advisories zu Dropbox und ManageEngine Password Manager

Diese Tage hat Stefan Friedli, Security Researcher der scip AG, zwei Schwachstellen in populären Produkten publik gemacht. Durch eine Header-Injection Schwachstelle können erweiterte Zugriffsrechte bei Dropbox erlangt und durch eine Script-Injection Schwachstelle beliebiger Code bei ManageEngine Password Manager ausgeführt werden. Die Hersteller wurden informiert und reagieren mit Patches.

• scip Advisory: PasswordManager Pro 6.1 Script Injection Vulnerability
• Labs: Dropbox.com – Probleme mit HTTP Header Injection
• English: Details on the Dropbox.com HTTP Header Injection Vulnerability

07.12.2009 – Expertenkommentar zu Outsourcing im Tages-Anzeiger

Marc Ruef, CTO der scip AG, wurde für einen Artikel mit dem Titel Google überwacht UBS und CS bezüglich der Sicherheit von Outsourcing befragt. Dieser ist heute im Tages-Anzeiger / Der Bund erschienen und ebenfalls online einsehbar. In Hochsicherheitsumgebungen raten wir davon ab, die technische Kompetenz auszulagern.

19.11.2009 – smSS vom 19. November 2009

Wie jeden Monat haben wir auch im November 2009 unseren scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Glücksspiel. Ebenso nicht zu verpassen ist der Erfahrungsbericht aus dem Leben eines scip AG Security Consultant – Falsche Akzeptanz eines möglichen Schutzes.

11.11.2009 – Xdoor Video auf SecurityTube

Im Juni dieses Jahres haben wir Details und ein Video zu Xdoor, unserer ajax-basierten Backdoor, publik gemacht. Das Demo-Video wurde nun ebenfalls auf SecurityTube veröffentlicht. In diesem ist zu sehen, wie ein Client über einen Browser erfolgreich ferngesteuert wird.

03.11.2009 – Das scip AG Team als Twitter-List

Auch wir machen vom neuen Feature von Twitter gebrauch, indem nun komfortabel unseren Mitarbeitern in der Team-List gefolgt werden kann. Dort werden zusätzlich private Projekte, die nicht oder erst später durch die scip AG Verwendung finden, diskutiert. Die scip AG betreibt zudem @scipag für allgemeine News und @scipvulbot für neue Einträge in der VulDB.

27.10.2009 – Erweiterung der VulDB

Die Verwundbarkeitsdatenbank wurde erweitert. Neu wird eine statistische Übersicht der Einträge dargeboten. Desweiteren werden nun zusätzliche Produkte sowie die Angabe der total dokumentierten Schwachstellen in der Produkteübersicht dargestellt. Zudem zeigt der scipvulbot auf Twitter nun regelmässig die neuesten Einträge samt Direkt-URL zur Datenbank an.

19.10.2009 – smSS vom 19. Oktober 2009

Wie jeden Monat haben wir auch im Oktober 2009 unseren scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Glücksspiel. Ebenso nicht zu verpassen ist der Erfahrungsbericht aus dem Leben eines scip AG Security Consultant – Eingabeüberprüfung par Excellence.

29.09.2009 – Video des Talk von Marc Ruef an OpenExpo

Marc Ruef hielt Ende dieses Monats einen Talk über Security Scanner Design an der OpenExpo in Winterthur. Die rund 30 Minuten dauernde Präsentation im Rahmen des Security Track wurde aufgezeichnet und nun das Video auf YouTube bereitgestellt.

24.09.2009 – Interview mit Marc Ruef in Linux Technical Review

Die deutsche Rechtsanwältin und Fachjournalistin für IT-Recht Vilma Niclas erläutert in ihrem umfassenden Artikel die Auswirkungen des umstrittenen “Hackerparagrafen”. Dabei kommt Marc Ruef (CTO der scip AG) zu Wort, erläutert seine Sicht der Dinge sowie die Auswirkungen auf die Arbeiten der scip AG.

21.09.2009 – Veröffentlichung Advisory zu Check Point Connectra

Stefan Friedli der scip AG fand eine Script Injection Schwachstelle in Check Point Connectra R62. Das Login Interface der populären VPN SSL Lösung wies nur unzureichende Validierungsmechanismen auf und konnte daher angegriffen werden. Die Schwachstelle wurde heute in den jeweiligen Mailinglisten sowie in der hauseigenen Verwundbarkeitsdatenbank publik gemacht, nachdem in Zusammenarbeit mit dem Hersteller öffentlich ein Hotfix zur Verfügung gestellt werden konnte.

19.09.2009 – smSS vom 19. September 2009

Wie jeden Monat haben wir auch im September 2009 unseren scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Glücksspiel. Ebenso nicht zu verpassen ist der Erfahrungsbericht aus dem Leben eines scip AG Security Consultant – Nichtexistenz als Schwachstelle.

18.09.2009 – 7 Jahre scip AG

Heute feiern wir das siebenjährige Bestehen der Firma scip AG. Diese Gelegenheit möchten wir nutzen, um unseren Kunden und Partnern für die erfolgreichen Jahre zu danken: Wir wünschen allen auch weiterhin viele erfolgreiche Projekte!

09.09.2009 – Einführung der NASLDB

In unserer Verwundbarkeitsdatenbank pflegen wir die bekannt gewordenen Schwachstellen zu dokumentieren. Auf der Basis dieser Arbeit haben wir als NASLDB eine ähnliche Datenbank für die NASL-Plugins des bekannten Vulnerability Scanners Nessus bereitgestellt.

08.09.2009 – Veröffentlichung Advisory zu Lotus Notes

Marc Ruef der scip AG fand einen Designfehler in Lotus Notes 8.5. Das für das Einlesen von RSS-Feeds dargebotene Widget weist eine kritische Schwachstelle auf. Diese wurde heute in den jeweiligen Mailinglisten (z.B. Bugtraq und Full-Disclosure) sowie in der hauseigenen Verwundbarkeitsdatenbank publik gemacht.

03.09.2009 – VulDB auf Twitter als scipvulbot

Die News zur scip AG werden seit einigen Wochen auch auf Twitter bereitgestellt. Davon ausgeschlossen waren bisher die neuen Einträge der Verwundbarkeitsdatenbank. Doch auch diese werden von nun an über den scipvulbot mitgeteilt. So kann alternativ zum RSS-Feed stets über die neuesten Schwachstellen informiert werden.

01.09.2009 – Vortrag von Marc Ruef an OpenExpo 2009 Winterthur

Marc Ruef, CTO und Leiter der Abteilung Auditing der scip AG, wird an der OpenExpo 2009 in Winterthur einen Vortrag halten (23.-24. September 2009 in den Eulachhallen). Der Titel dessen lautet Security Scanner Design am Beispiel von httprecon und soll die wichtigsten Punkte bei der Entwicklung und Anwendung von Software im Rahmen von Sicherheitsüberprüfungen diskutieren.

25.08.2009 – Grosse Aktualisierung der VulDB

Unsere Verwundbarkeitsdatenbank wurde in grösserem Umfang aktualisiert. So wurden zu allen Einträgen die fehlenden Daten, wie zum Beispiel CVE und Secunia IDs, zugewiesen. Ebenso werden weitere Details wie die Bestätigung des Herstellers und Securitytracker-Links dargeboten. Dadurch konnte die Qualität der freien Datenbank massgeblich verbessert werden.

19.08.2009 – smSS vom 19. August 2009

Wie jeden Monat haben wir auch im August 2009 unseren scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Glücksspiel. Ebenso nicht zu verpassen ist der Erfahrungsbericht aus dem Leben eines scip AG Security Consultant – Wer rechnen kann, ist klar im Vorteil.

22.07.2009 – 4000ste Schwachstelle in VulDB

Dieses Wochenende wurde die viertausendste Schwachstelle in unserer Verwundbarkeitsdatenbank katalogisiert. Hierbei handelt es sich um die Beschreibung einer sehr kritischen Pufferüberlauf-Schwachstelle in den Microsoft Office Web Components. Seit Anfang 2003 dokumentieren wir in deutscher Sprache publik gewordene Schwachstellen in unserer öffentlichen VulDB.

19.07.2009 – smSS vom 19. Juli 2009

Wie jeden Monat haben wir auch im Juli 2009 unseren scip monthly Security Summary fertiggestellt. Wir wünschen Ihnen viel Erfolg beim Glücksspiel. Ebenso nicht zu verpassen ist der Erfahrungsbericht aus dem Leben eines scip AG Security Consultant – Despotische Demokratie in der virtuellen Welt.

13.07.2009 – Stetige Aktualisierung des Twitter Feeds

Seit Anfang Juni sind wir ebenfalls auf Twitter vertreten. Darauf werden nun stets die aktuellsten Neuerungen publiziert. Die jeweiligen Kategorien sind dabei mit den passenden Hashtags versehen: #scipnews, #sciplabs, #scipsmss und #scippublikationen. Somit bleiben Sie stets auf dem neuesten Stand. Alternativ kann unser RSS Feed benutzt werden.

26.06.2009 – Aktualisierung des VulDB RSS Feeds

Mit der Überarbeitung der hauseigenen Verwundbarkeitsdatenbank haben wir nun ebenfalls den RSS-Feed dieser optimiert. Neben zusätzlichen Details werden nun ebenfalls erweiterte Kategorien geführt, wodurch die Nutzung und Recherche massgeblich verbessert wird.

23.06.2009 – Einführung der neuen VulDB

Seit Anfang 2003 dokumentieren wir fortwährend in deutscher Sprache öffentlich gewordene Schwachstellen in unserer Verwundbarkeitsdatenbank. Diese wurde einem umfassenden Redesign unterzogen und damit in die neue Seite integriert.

09.06.2009 – Vorwort zu “Die Kunst der digitalen Verteidigung”

Marc Ruef, seines Zeichens CTO und Head of Auditing der scip AG, ist im Buch Die Kunst der digitalen Verteidigung von Thomas Werth mit einem Vorwort vertreten. Dieses Buch, welches per sofort im Handel erhältlich ist, gilt als Ergänzung von Die Kunst des Penetration Testing von Marc Ruef.

05.06.2009 – scip AG nun auf Twitter verfügbar

Die Neuigkeiten zur scip AG sind nun ebenfalls in unserem Feed auf Twitter verfügbar. In Kombination mit unseren RSS Feeds sehen Sie sich damit in der Lage, stets auf dem neuesten Stand zu sein.

02.06.2009 – Launch der neuen Webseite

Die scip AG befindet sich im siebten Jahr seit ihrer Gründung. Dies nahmen wir als Anlass, unseren Webauftritt komplett zu überarbeiten. Die neue Webseite unterstützt die aktuellsten Standards und Browser-Features, ohne die Kompatibilität zu älteren Browsern zu verlieren. Wir wünschen viel Spass mit unserer neuen Homepage.

19.04.2009 – Vorstellung des spread project

Das spread project von Marc Ruef hat zum Ziel, auf der Basis des Client/Server-Prinzips, eine valable technische Möglichkeit aufzuzeigen, wie gängige Sicherheitsmassnahmen umgangen werden können um eigenen Programmcode in ein sicheres Netz einzuschleusen und auszuführen.

19.01.2009 – Erfolgreiches neues Jahr

Das neue Jahr 2009 hat definitiv begonnen. Die kurze Zeit der verbreiteten Arbeitspause ist vorüber. Täglich stehen wieder Meetings, Workshops und Entscheidungen an. Die scip AG wünscht Ihnen auf diesem Weg nocheinmal ein erfolgreiches und gesundes Jahr.

19.12.2008 – Festtage und Neujahr

Ein weiteres Jahr neigt sich seinem Ende. Die Tage werden kürzer, die Temperaturen sinken, es liegt Schnee und es sind allerlei Geschenke zu verteilen. Wir von der scip AG bedanken uns für ein weiteres erfolgreiches Jahr. Seien Sie auf die anstehenden Evolutionen der scip AG gespannt, es lohnt sich! Die scip AG wünscht Ihnen allen eine besinnliche Festzeit, Gesundheit und ein erfreuliches neuen Jahr 2009.

19.07.2008 – Artikel zu Reverse Engineering in Computerworld

Marc Ruef beantwortete in der am 2. Juli 2008 erschienenen Ausgabe der Computerworld Fragen bezüglich Reverse Engineering als Security Check Alternative.

19.04.2008 – Artikel zu Sicherheit von Programmiersprachen in Computerworld

Marc Ruef beantwortete in der am 9. April 2008 erschienenen Ausgabe der Computerworld ob es Unterschiede bei der Sicherheit verschiedener Programmiersprachen gibt.

19.03.2008 – Artikel zu Backdoor Tests in Computerworld

Marc Ruef beantwortete in der am 5. März 2008 erschienenen Ausgabe der Computerworld wie man mittels Security Audits bzw. Backdoor Inside/Out Attacken testen kann, wo die IT-Security wirklich steht insbesondere der Schutz gegen Computerviren.

18.03.2008 – Vorstellung des telnetrecon project

Das als integrales Fingerprinting-Framework angelegte Projekt von Marc Ruef, welches im scip monthly Security Summary vom 19. Dezember 2007 mit der Publizierung des httprecon project begann, wird in Kürze einen weiteren Ableger erhalten. Es handelt sich dabei um das telnetrecon project, welches sich mit der Identifikation von Telnet-Servern auseinandersetzt.

19.01.2008 – Erfolgreiches neues Jahr

Das neue Jahr hat definitiv begonnen. Die kurze Zeit der verbreiteten Arbeitspause ist vorüber. Täglich stehen wieder Meetings, Workshops und Entscheidungen an. Die scip AG wünscht Ihnen auf diesem Weg nocheinmal ein erfolgreiches und gesundes Jahr.

19.12.2007 – Frohe Festtage

Die scip AG wünscht Ihnen frohe Festtage und einen guten und gesunden Rutsch ins neue Jahr 2008. Wir freuen uns darauf Sie auch im kommenden Jahr begrüssen zu können.

18.12.2007 – Vorstellung des httprecon project

Marc Ruef machte am 24. November 2007 eines seiner aktuellen Projekte publik. Es handelt sich dabei um das httprecon project. Das httprecon project erforscht dabei das Gebiet des Webserver Fingerprinting, auch bekannt als HTTP Fingerprinting. Das Ziel des Projektes ist die akkurate Identifikation der gegebenen httpd Implementierung des entsprechenden Webservers.

15.12.2007 – Artikel zu Source Code Analyse in Computerworld

Marc Ruef beantwortete in der am 30. November 2007 erschienenen Ausgabe der Computerworld Fragen zu den Möglichkeiten einer Source Code Analyse.

19.10.2007 – Interview mit Marc Ruef im PC Magazin

Das PC Magazin hat in ihrer Ausgabe 11/2007 Herrn Marc Ruef zu seiner Meinung zum Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität, welches in Deutschland seit dem 11. August 2007 in Kraft getreten ist, befragt.

01.10.2007 – Neues Domizil bezogen

Die scip AG hat nun ihre neuen Büroräumlichkeiten bezogen. Wir geniessen nun den Sonnenaufgang über „einigen Dächern“ der Stadt Zürich. Zur Erinnerung finden Sie untenstehend nocheinmal unsere aktuellen Koordinaten:

scip AG
Badenerstrasse 551
8048 Zürich

+41 44 404 1313

19.09.2007 – Trojaner in der Sendung 10vor10 des Schweizer Fernsehen

Das Nachrichtenformat 10vor10 des staatlichen schweizerischen Fernsehens SF, vergleichbar mit dem Heute Journal des ZDF, veranlasste einen Beitrag über Informationssicherheit zum Thema Trojaner und Backdoor zu erstellen und am 3. September 2007 auszustrahlen. Da die scip AG im Verlauf ihrer Tätigkeiten und Aufträge oft mit entsprechenden Techniken konfrontiert wird und diese in Absprache mit den Auftraggeber auch selbst anwendet, wurde sie zur Sachlage und ihrer fachmännischen Einschätzung befragt. Dazu wurde Herr Marc Ruef in den Büroräumlichkeiten der scip AG interviewt.

19.08.2007 – Vorstellung des Entropia Project

Bei Entropia handelt es sich um ein offenes Research-Projekt. Dieses will verschiedene Methoden und Strategien entwickeln, um Zufallswerte und Verschlüsselungen auf ihre statistischen Anfälligkeiten hin zu untersuchen. Mit dem eigens geschriebenen Framework können sodann PGP-Nachrichten, SHA1-Hashes, MD5-Cookies und TAN-Listen (Zufallscodes) analysiert werden.

19.07.2007 – Interview von Marc Ruef in hakin9

Die internationale Fachzeitschrift hakin9 hat für die Ausgabe 7/2007 ihres Magazins Herrn Marc Ruef (Leiter des Security Auditing Teams der scip AG) zu aktuellen Themen aus dem Bereich der Computersicherheit interviewt.

19.06.2007 – Erscheinen von “Die Kunst des Penetration Testing”

Nach fast 6 Jahren Arbeit hat Marc Ruef, seines Zeichens Security Consultant bei scip AG, sein neues Buch fertiggestellt. Es trägt den Titel Die Kunst des Penetration Testing. Seit dieser Woche ist der Titel aus dem C&L-Verlag in gut sor-tierten Buchhandlungen aufgelegt worden. Das Buch versteht sich als Kombination zwischen den pragmatischen Diskussionen von W. Richard Stevens “TCP/IP Illustrated” und dem ausschweifenden Perfektionismus von Donald E. Knuths “The Art of Computer Programming”. Der Untertitel des Werks lautet “Handbuch für professionelle Hacker”, denn so wurde versucht sämtlich Facetten des professionellen Penetration Testing zusammenzufassen.

19.04.2007 – Vorstellung des codEX Frameworks

Das Ziel des codEX Projektes ist die Entwicklung systematischer Strategien und Methoden um (halb-)automatisierte Source Code Analysen durchzuführen. Die grundlegende Idee ist die Erstellung eines Frameworks, welches vorhandenen Source Code aufgliedert. Weiterführende Analysen auf der logischen Ebene setzen eine reduzierte Normalisierung voraus. Diese wird mittels virtuellem Compiler für unterschiedliche Programmiersprachen erreicht. Dieser Compiler gibt die Daten in einer Assembler ähnlichen Struktur, Metacode™ genannt, aus.

19.02.2007 – Artikel zu Virtualisierung in Computerworld

Simon Zumstein beantwortete in der am 16. Februar 2007 erschienenen Ausgabe der Computerworld Fragen zur Virtualisierung im Bezug auf die Information Security. Den Artikel finden Sie online als PDF unter http://www.computec.ch/download.php?view.863.

19.12.2006 – Interview mit Marc Ruef auf defense.at

Das österreichische Sicherheitsportal defense.at hat für die Q4 2006 Ausgabe ihres Online Magazins Herrn Marc Ruef (Leiter des Security Auditing Teams der scip AG) interviewt.

19.11.2006 – Phishing in der Sendung 10vor10 des SF Schweizer Fernsehen

Die Phishing Angriffe auf die Migros Bank im August 2006 und der Halbjahresbericht der amtlichen Melde- und Analysestelle Informationssicherung veranlasste das Nachrichtenformat 10vor10 des staatlichen schweizerischen Fernsehens SF, vergleichbar mit dem Heute Journal des ZDF, einen Beitrag über Informationssicherheit zu erstellen und am 16. November 2006 auszustrahlen. Da die scip AG im Verlauf ihrer Tätigkeiten und Aufträge oft mit entsprechenden Techniken konfrontiert wird und diese in Absprache mit den Auftraggeber auch selbst anwendet wurde sie zur aktuelleren Attacke und dem Halbjahresbericht befragt. Dazu wurde Herr Simon Zumstein in den Büroräumlichkeiten der scip AG interviewt.

19.10.2006 – Artikel zu Citrix-Sicherheit in hakin9

Das IT-Security Magazin hakin9 veröffentlicht in seiner kommenden Ausgabe 6/2006 (19) einen Fachartikel von Marc Ruef, Security Consultant der Firma scip AG. Im Fachartikel wird der Prozess zur Erweiterung der zugesprochenen Rechte in Citrix-Umgebungen beschrieben und wie diese erweiterten Rechte eingesetzt werden können.

19.09.2006 – Artikel zu Application Mapping in hakin9

Das IT-Security Magazin hakin9 veröffentlicht in seiner aktuellen Ausgabe 5/2006 (18) einen Fachartikel von Marc Ruef, Security Consultant der Firma scip AG. Im Fachartikel wird der Prozess der Determinierung des angebotenen Dienstes und des durch ihn zur Verfügung gestellten Anwendungsprotokolls beschrieben und wie diese Information eingesetzt werden kann.

19.08.2006 – Fachartikel zu ARP-Angriffen in freeX

Das Magazin für freie Unix-Systeme freeX veröffentlichte in seiner Ausgabe 5/2006 (August + September) einen Fachartikel von Marc Ruef, Security Consultant der Firma scip AG. Im Beitrag wird beschrieben, wie ein Angreifer unter Zuhilfenahme von ARP (Address Resolution Protocol) sich ein Bild der Umgebung machen kann.

19.07.2006 – scip Emergency-SMS in Deutschland

Der bislang exklusiv für die Schweiz zur Verfügung gestellte Emergency-SMS Dienst ist nun auch in Deutschland zu abonnieren. Je nach gewähltem Abo-Typ werden Sie jeweils per SMS auf Ihr Mobile über akute Schwachstellen informiert. In dem kurzen Schreiben finden Sie die Schwere der Verletzbarkeit, einen Kurzbeschrieb zum Vorfall, einen Lösungsvorschlag und die scip ID der Verwundbarkeit als Referenz zur ausführlich Beschreibung in unserer freien Datenbank.

Update 12. Juni 2009: Der Emergency-Dienst wurde eingestellt. Bitte benutzen Sie stattdessen den RSS-Feed.

19.06.2006 – Bilderrätsel im smSS

Das eingeholte smSS Feedback der Leser und Leserinnen vom 19. Februar 2006 hat ihre erste Auswirkung. Wie in der scip monthly Security Summary Feedback Auswertung vom 19. März 2006 angedeutet, haben wir den am “schlechtesten” bewerteten Abschnitt – das Kreuzworträtsel – durch eine Alternative ersetzt. Wir haben uns für ein Bilderrätsel entschieden. Das erste smSS Bilderrätsel finden Sie im Abschnitt 6 auf der Seite 22. Wir wünschen viel Spass und Erfolg bei der Erratung des Lösungswortes.

19.05.2006 – Offene Stellen

Die scip AG wächst weiter und generiert neue Arbeitsstellen:

• Zur Erweiterung des Geschäftsprozesses Security Consulting (Strategisches Security Consulting und Coaching, Überprüfung der implementierten Sicherheitsmassnahmen mittels Security Audit, Penetration Test und Ethical Hacking, Reverse Engineering von Applikationen, forensische Analysen) suchen wir zwei Security Consultants.
• Zur Erweiterung des Geschäftsprozesses Software Entwicklung (Log-Management Framework, Risiko- und Analysesysteme) suchen wir einen Applikationsentwickler und einen PHP/SQL Programmierer.

Die Stelleninserate und Bewerbungskoordinaten finden Sie auf unserer Webseite unter Firma.

19.04.2006 – Artikel zu VMware in Computerworld

Marc Ruef beantwortete in der am 13. April 2006 erschienenen Ausgabe der Computerworld Fragen bezüglich der Sicherheitsbedenken bei einem Einsatz der Virtualisierungssoftware VMware.

19.03.2006 – smSS Feedback Auswertung

Vielen Dank für Ihre Feedbacks! Wir freuen uns sehr über Ihr Interesse am scip monthly Security Summary. Die 168 ausgefüllten Feedbacks entsprechen in etwa 18% der Leserschaft. Eine ausgesprochen grosse Resonanz für einen kostenlosen “Newsletter”. Danke!

Wir haben uns ausserordentlich darüber gefreut, dass keine einzige schlechte Wertung abgegeben wurde! Nach unserer Auswertung der Feedbacks wurden vorwiegend die Einschätzungen sehr gut und gut übermittelt.

Die Freude über die sehr guten Bewertungen aller allgemeinen Punkte wie Inhalt, Nutzen und Gestaltung ist ungebrochen und spornt uns an auch in Zukunft am smSS zu feilen. Eine positive Bilanz im Vergleich zur ersten Leserumfrage am 19. Juni 2003.

Bei den einzelnen Abschnitten gewann, entgegen unserer internen Prognose, der Abschnitt Editorial mit einer Wertung von 1.5. Dicht gefolgt vom Favoriten Interview / Fachartikel / Erfahrungsaustausch mit 1.6 Punkten. Etwas überraschend hat das Kreuzworträtsel mit 2.4 an Boden verloren.

Die weiteren Anregungen respektive die Erweiterungswünsche wie etwa Testberichte aktueller Security Tools sind aufgenommen und werden von uns intern besprochen.

Als Schlussfolgerung aus der Befragung werden wir primär unsere Bestrebungen daran setzen die Qualität des smSS beizubehalten. Als direkte Konsequenz wird das Kreuzworträtsel genauer analysiert und falls sinnvoll angepasst oder ausgetauscht.

19.02.2006 – smSS Feedback

Der scip monthly Security Summary feiert mit der vorliegenden Ausgabe sein dreijähriges Jubiläum!

Ein Grund zum feiern. Gleichzeitig nehmen wir auch die Zukunft ins Visier. Was gilt es zu verbessern? Welche Inhalte interessieren die Leserschaft? Welche Abschnitte gefallen und welche nicht? Gilt es neue Rubriken einzuführen? usw.

Langer Rede kurzer Sinn, wir bitten um Ihr persönliches smSS Feedback.

Die Resultate, die daraus gezogenen Schlüsse und die geplanten Anpassungen finden Sie im kommenden smSS vom 19. März 2006 oder in den Online News.

19.01.2006 – 900 aktive smSS Abonennten

Ein weiterer Meilenstein ist errungen. Der vorliegende scip monthly Security Summary wird erstmals an mehr als 900 registrierte Abonnenten versandt.

Wir danken allen Leserinnen und Lesern für das Vertrauen und freuen uns darauf Sie auch in Zukunft mit Informationen beliefern zu dürfen.

Natürlich sind wir einem konstruktiv-kritischen Feedback gegenüber nicht abgeneigt. Denn nur durch angeregten Ideenaustausch sind Verbesserungen möglich. Wir freuen uns über Ihre Schreiben.

18.01.2006 – scip AG at a Glance

Wissen Sie wer die scip AG ist, was für Dienstleistungen sie anbietet oder gar welche Projekte die scip AG erfolgreich durchgeführt hat?

Der at a glance Flyer stellt die Firma scip AG, zusammengefasst auf einer Seite, kurz und verständlich vor. Lassen Sie sich überraschen.

Gerne beantworten wir Ihnen weiterführende Fragen oder stellen uns persönlich und unverbindlich bei Ihnen vor. Kontaktieren Sie uns.

20.12.2005 – Frohe Festtage

Die scip AG wünscht Ihnen frohe Festtage und einen guten und gesunden Rutsch ins neue Jahr 2006.

19.12.2005 – Artikel zu Firewall-Typen in Computerworld

Marc Ruef beantwortete in der am 02. Dezember 2005 erschienenen Ausgabe der Computerworld Fragen bezüglich unterschiedlicher Firewalling-Typen und Techniken.

19.11.2005 – Phishing in SF-Sendung 10vor10

Der erneute Phishing Angriff auf die Postfinance im Oktober 2005 veranlasste das Nachrichtenformat 10vor10 des staatlichen schweizerischen Fernsehens SF, vergleichbar mit dem Heute Journal des ZDF, einen Beitrag dazu zu erstellen und am 25. Oktober 2005 auszustrahlen.

Da die scip AG im Verlauf ihrer Tätigkeiten und Aufträge oft mit den entsprechenden Techniken konfronitert wird und diese in eigenen Projekten und in Absprache mit den Auftraggeber selbst anwendet wurde sie gebeten die vorliegende Phishing Attacke zu analysieren. Als Spezialist für Computersicherheit wurde Herr Marc Ruef in den Büroräumlichkeiten der scip AG interviewt.

18.11.2005 – Artikel zu Social Hacking in Computerworld

In der integrierten Beilage für Entwickler (Developerworld) der Computerworld Ausgabe vom 21. Oktober 2005 finden Sie den Artikel “Social Hacking mit technischen Hilfsmitteln stoppen” von Marc Ruef der scip AG. Im Artikel werden ausgesuchte Angriffsformen erläutert und konkrete Gegenmassnahmen empfohlen.

19.10.2005 – Datendiebstahl in SF-Sendung 10vor10

Das Nachrichtenformat 10 vor 10 des staatlichen schweizerischen Fernsehens SF, vergleichbar mit dem Heute Journal des ZDF, sendete am Dienstag dem 4. Oktober 2005 einen Beitrag über Datendiebstahl durch Internet-Kriminelle bei Firmen.

Die scip AG wurde dazu in ihrer Tätigkeit als renommierter Auftragsangreifer aus dem Internet für Grossfirmen und Finanzinstitute befragt. Als Spezialist für Computersicherheit wurde Herr Marc Ruef in den Büroräumlichkeiten der scip AG interviewt.

18.10.2005 – Artikel zu Online-Banking in Computerworld

Marc Ruef beantwortet in der aktuellen Ausgabe der Computerworld vom 14. Oktober 2005 Fragen bezüglich der Sicherheit von Online-Banking.

17.10.2005 – computec.ch in neuer Version

computec.ch besteht seit 1997 und ist das werbefreie und deutschsprachige Online-Archiv für Publikationen zu den Themen Computer, Technik und Sicherheit.

Die aktuelle Version 2.0, welche seit dem 16. Oktober 2005 aufgeschaltet ist, verheisst vor allem ein Mehr an Interaktivität für den Benutzer. Marc Ruef hat das Content Management System (CMS) einmal mehr optimiert und wichtige Features addiert.

19.09.2005 – Fachartikel zu Schwachstelle im Internet Explorer

Die aktuelle Fassung des scip monthly Security Summary beinhaltet einen Fachartikel aus der Feder von Sven Vetsch.

Dieser Artikel (Wie mit GIF-Bildern Cross Site Scripting-Angriffe im Internet Explorer umgesetzt werden können) handelt von einer bis dato nicht rapportierten Schwachstelle im Microsoft Internet Explorer, welche durch Herrn Sven Vetsch eruiert wurde. Gemäss “Gentlement Agreement” im Bezug auf gefundene Schwachstellen, wurde der Hersteller direkt nach dem Finden der Schwachstelle informiert – Im Verlauf des Textes wird erläutert, wie diese kritische Sicherheitslücke ausgenutzt werden kann und welche Gegenmassnahmen getroffen werden können.

19.07.2005 – Neue Rukbrik im scip monthly Security Summary

Der scip monthly Security Summary ist innerhalb der scip AG ein oft und regelmässig besprochenes Thema. Wir diskutieren über redaktionelle Beiträge, interessante News und mögliche Erweiterungen als auch Optimierungen. Im Verlauf eines solchen Meetings kam, wie des öfteren, eine auf den ersten Blick unpassende Idee auf. Auf den zweiten und dritten Gedanken mussten wir alle zugeben, dass das Themengebiet doch in den scip monthly Security Summary (smSS) passen würde.

Also dachten wir: “Mal eine etwas andere Rubrikidee! Fragen wir doch direkt unsere Leser ob das Interesse vorhanden ist und ob uns jemand einen Tipp abgeben kann.”

Auf den Punkt gebracht. Gerne würden wir ab einer der kommenden smSS Ausgaben eine neue Rubrik aufnehmen. Ihr Titel: IT Hideouts Lokationen. In diesem Abschnitt sollen Orte, Bars, Strandabschnitte, Berghütten, Seen etc. aufgenommen werden, in oder um welche man optimal ausschalten und relaxen kann.

19.04.2005 – Fachartikel zu JPEG GDI+ Parsing Pufferüberlauf

Die vorliegende Fassung des scip monthly Security Summary beinhaltet einen Fachartikel aus der Feder von Taner “exonity” E.

Dieser, für das eZine Spaxid verfasste, Artikel zeigt auf einfache und verständliche Weise auf, wie die am 14. September 2004 veröffentlichte Schwachstelle Microsoft verschiedene Produkte JPEG GDI+ Parsing Pufferüberlauf ausgenutzt werden kann und welche Gegenmassnahmen getroffen werden können.

19.02.2005 – smSS über 700 Leser

Ein weiterer Meilenstein ist erreicht. Der scip monthly Security Summary zählt nun über 700 registrierte Leser. Dabei ist hervorzuheben, dass sich alle Personen selbstständig eingetragen haben. Die scip AG bedankt sich für Ihr Vertrauen!

19.01.2005 – Attack Tool Kit in Japan

Das von Herrn Marc Ruef, seineszeichens Security Consultant der scip AG, programmierte und ins Leben gerufene Exploiting Framework ATK, erobert die Welt.

Nach grosser und überaus positiver Resonanz aus Europa und Amerika entdeckt nun auch der asiatische Raum die Vorzüge und Qualitäten des ATK. Nebst Anfragen aus Korea folgt nun gar die Publizierung im Fachguide: Hacker Japan und der beiliegenden CD “Security Tools Collection 2005”.

18.01.2005 – Redesign des smSS wurde verschoben

Das in der Oktober 2004 Ausgabe des scip monthly Security Summary angekündigte Redesign wurde verschoben.

19.12.2004 – Festtage und Neujahr

Ein weiteres Jahr neigt sich seinem Ende. Die Tage werden kürzer, die Temperaturen sinken, es riecht nach Schnee und es sind allerlei Geschenke zu verteilen.

Wir von der scip AG bedanken uns für ein weiteres erfolgreiches Jahr. Einerseits sind wir stolz auf eine wachsende, zufriedene und treue Kundschaft zählen zu können und andererseits freut es uns sehr zu sehen, dass unser werbungsneutrales, professionell erarbeitetes und Hersteller unabhängiges Gefäss weiter in der Gunst der Leser steigt und permanent neue Leser gewinnen kann.

Seien Sie auf die weiteren Evolutionen der scip AG gespannt, es lohnt sich! Die scip AG wünscht Ihnen allen eine besinnliche Festzeit, Gesundheit und ein erfreuliches neuen Jahr 2005.

19.11.2004 – scip Alerter im Chip

Das Security Ticker Tool “scip Alerter” der scip AG ist bereits seit Oktober 2003 offiziel zum Download und freien Gebrauch freigegeben. Es reiht sich nahtlos in die weiteren scip_Alert “Produktreihe” ein. Sei dies nun die Integration der aktuellsten Sicherheitslücken in Ihren eigenen Webauftritt, den Bezug der aktuellsten News über unseren RSS-Feed oder die Abonierung unserer )pallas( Dienstleistungspackete.

Dank seiner Popularität fand er nun sogar Einzug in die deutschsprachige Computerzeitschrift CHIP. In der Ausgabe Version 11/2004 finden Sie den scip Alerter auf der beigelegten Heft-CD.

19.10.2004 – scip monthly Security Summary Redesign

Die scip AG veröffentlicht seit dem 19. Februar 2003 den scip monthly Security Summary. Wir sind stolz darauf, über 640 Personen zu unserer Leserschaft zählen zu dürfen. Wobei es sich ausschliesslich um Personen handelt, welche sich selbst angemeldet haben!

Die Form des scip monthly Security Summary ist seit Beginn, am 19. Februar 2003, unverändert. Einzig einige Themenbereiche wurden, aufgrund einer Leserbefragung, angepasst, ersetzt oder entfernt.

Wir planen ein Redesign des smSS auf den 19. Januar 2005. Alle Leserinnen und Leser sind eingeladen, uns Ihre Wünsche und Ideen zukommen zu lassen. Sei dies zu neuen Themenbereichen, Darstellungsform, Versandart etc. Wir freuen uns auf Ihre Anregungen!

19.09.2004 – Attack Tool Kit 2.1

Die Version 2.1 des Attack Tool Kit ist nun fertiggestellt und zum Download freigegeben. Die durch Herrn Marc Ruef, Security Consultant der scip AG, programmierte Software, erlaubt dem Anwender die konkrete Nachprüfung gefundener Schwachstellen (z.B. durch Nessus). Dank der Integration des Attack Editors, können eigene Checks erstellt oder auch bestehende Routinen den jeweiligen Gegebenheiten der zu überprüfenden Infrastruktur angepasst werden.

Auch aus diesem Grund ist, bei scip AG Penetration Test oder Security Audits, das Attack Tool Kit ein fester Bestandteil des Testprozedere.

Die Güte des Programmes hat sich seit seiner erstmaligen Veröffentlichung enorm erhöht. So dass das Programm, in seiner neusten Version, gar durch unsere Mitbewerber angewandt wird! Ebenfalls die Fachpresse (z.B. Heise) wurde, selbstständig, auf das Attack Tool Kit aufmerksam und vergibt Höchstnoten.

19.07.2004 – Statistiken zur Webseite

Die scip AG Webseite wird rege aufgesucht. Den letzten Auswertungszahlen zufolge sind es mehr als 6’000 unique IPs und über 220’000 Hits pro Monat. Zudem verweisen bereits mehr als 500 externe Webpages auf das Informations- und Dienstleistungsangebot der scip AG.

Zur Verbesserung der Übersichtlichkeit haben wir nun dedizierte Icons auf unserer Startseite platziert. Dank diesen Quicklinks finden Sie gezielte Angobte einfacher und ohne Umwege.

19.05.2004 – zusätzliche Felder in VulDB

Die deutschprachige Verletzbarkeitsdatenbank der scip AG wird kontinuierlich erweitert. Die direkt darauf aufbauenden Dienstleistungen pallas, achilleus und Emergency-SMS profitieren ebenso davon wie die weiteren Dienstleistungen der scip AG (z.B. Security Audit). Als Schlussfolgerung: der Kunde!

In der aktuellsten Version der Verletzbarkeitsdatenbank finden Sie die Direktlinks zu der Open Source Vulnerability Database und dem Attack Tool Kit. Ebenfalls neu finden Sie die Anzahl der Treffer, berechnet aus der Gesamtanzahl eingetragener Datensätze.

19.04.2004 – pallas Aktion – Gezielt informiert

Der )pallas( Informationsdienst wurde im Mai 2003 lanciert.

Dank dem Mix aus Analysen, Alertmeldungen und ausführlichen Statistiken können die Informationen als Hilfsmittel für das Change-& Patchmanagement angewendet als auch zur Visualisierung und zur Unterstützung interner Entscheidungspapier herbeigezogen werden.

Zum einjährigen Jubiläum des )pallas( Informationsdienstes, vergeben wir allen unseren scip monthly Security Summary (smSS) Lesern einen Monat )pallas( Kosten- und Verpflichtungslos. Um von dieser Aktion gebrauch zu machen, folgen Sie diesem Link. Update 12. Juni 2009: Der öffentliche Pallas-Dienst wurde eingestellt.

19.02.2004 – Neues Angebot zu Fachübersetzungen

In einer durch den Informationsfluss geprägten Gesellschaft wird das Verständnis vorhandener Informationen immer essentieller.

Seit Gründung der scip AG haben wir uns zum Ziel gesetzt, IT-Security verständlich und transparent zu gestalten. Einer der Eckpfeiler zur erfolgreichen Umsetzung dieser Ziele ist die Informationsabgabe in für das Zielpublikum verständlicher Sprache, also Deutsch. Beginnend mit der deutschsprachigen Verletzbarkeitsdatenbank bis hin zu Übersetzungen von IT-Security Fachbüchern.

Aufgrund der grossen Anzahl an positiven Rückmeldungen bezüglich unseren in Deutsch gehaltenen Informationen und weiteren Übersetzungsanfragen, haben wir uns dazu entschlossen, Fachübersetzungen von der englischen in die deutsche Sprache anzubieten. Um dem Endkunden dank unseres fundierten IT-Securitywissen den Mehrwert gewährleisten zu können, fokussieren wir uns auf technische IT-Dokumente.

19.12.2003 – RSS-Feed der Verletzbarkeitsdatenbank

Die sehr erfolgreiche und beliebte deutschsprachige Verletzbarkeitsdatenbank (bislang verweisen über 320 Websites auf die scip AG Datenbank) kann nun auch über einen RSS-Feed eingebunden werden. Somit steht es Ihnen frei über welches Medium Sie sich auf dem laufenden halten wollen.

18.12.2003 – Kunden Online-Cockpit

Vier Wochen Testbetrieb bei zwei Kunden (vielen Dank für die Unterstützung) und das scip AG Online-Cockpit ist freigeschaltet. Somit ist es nun allen unseren Kunden möglich den Status, die Pendenzen usw. ihrer laufenden als auch der bereits beendeten Projekte jederzeit einzusehen.

Bei Interesse an einem Testaccount, Fragen zur Security Implementation oder zum Datenschutz, rufen Sie uns direkt an oder senden Sie uns eine Email. Nach Absprache erhalten Sie die Zugangsutensilien für ihren Testaccount.

19.11.2003 – Zielpublikumsgerechte Dokumente

Security Audits müssen aussagekräftige, profunde, wiederverwendbare, nachvollziehbare und lösungsorientierte Aussagen enthalten. Diese Ergebnisse müssen je nach Zielpublikum unterschiedlich präsentiert werden. Damit die differenten Parteien in der Lage sind, ihre jeweiligen Aufgaben ohne Verzögerung wahrzunehmen. Dabei muss die Integrität der Daten beibehalten werden. Diesen Trend verfolgt die scip AG seit ihrer Gründung und hat ihre Dokumententypen und deren Inhalte stetig in diesem Sinne weiterentwickelt. Durch diese Erfahrung bietet die scip AG dem Zielpublikum angepasste Dokumente.

18.11.2003 – scip_Alerter Desktop Security Ticker

Möchten Sie sich umgehend, bequem und direkt auf Ihrem Desktop, über die aktuellsten Sicherheitslücken informieren lassen? Dann ist unser scip_Alerter (mit Proxy-Unterstützung, Konfigurationsspeicherung, Log-Funktionalität, Soundausgabe uvm.) Ihr Werkzeug.

17.11.2003 – Artikel zu WLAN-Sicherheit in EL-Forum

In der Ausgabe 10/03 vom 20.10.03, mit Schwerpunkt Sicherheit, des EL-forum Fachzeitschrift für Elektronik und Elektrotechnik finden Sie einen durch die scip AG (Marc Ruef) verfassten Artikel Sicherheit drahtloser Netze – Luftangriffe abwehren.

News Übersicht

• Aktuell
  • CVSS Maps in VulDB verfügbar
  • Vortrag zu Security Testing an SGRP Schweiz
  • Interview zu Angriff auf Spamhaus
  • Expertenkommentar zu iPhone Apps
  • Interview zu Malware-Jägern
• Archiv
• Medienauftritte
• Syndication
  • RSS
  • Twitter