Compass Security AG weist auf Sicherheitslücken in Social Networks hin
ICT-Security-Dienstleister warnt vor Gefahren in Facebook, Xing & Co.
Compass Security AG weist auf Sicherheitslücken in Social Networks hin
Rapperswil, 06. Mai 2009 – Es ist gemeinhin bekannt, dass sich unvorsichtige User in Online Communities wie Xing, StudiVz und Facebook durch unüberlegte Angaben, Bilder etc. für die breite Öffentlichkeit transparent machen. Neben dem freiwilligen Verlust der Privatsphäre durch die Offenheit vieler User lauern jedoch zusätzliche Bedrohungen. Dass Social Networks auch technologisch zahlreiche Sicherheitsrisiken bergen, ist den wenigsten bewusst. So hat die Compass Security AG bereits etliche Schwachstellen identifiziert, die es ermöglichen, User-Accounts zu manipulieren und kompromittieren, Nachrichten mit¬zulesen und vieles mehr.
Ulrike Peter, Senior Vice President der Sprengel & Partner GmbH, hat erlebt, wie schnell man einer derartigen Attacke zum Opfer fallen kann: „Ich telefonierte mit Marco Di Filippo von Compass Security und er schickte mir dabei eine E-Mail mit dem Link https://www.xing.com/bestoffers/, in der er ein Angebot bei Xing suggerierte. Es öffnete sich nach dem Anklicken die übliche XING-An¬meldemaske und ich habe mich wie gewohnt in meinen Account eingeloggt. Nachdem ich dies getan hatte, las er mir mein Passwort vor. Ich war völlig perplex.“ Dieses Beispiel diente Demozwecken, verdeutlicht aber die Brisanz sowie die möglichen Folgen. Der Angreifer, der durch eine derartige „Man in the Middle-Attacke“ an ein Passwort oder weitere Daten gelangt, könnte sich so z.B. auch Zugriff zu weiteren Accounts des jeweiligen Users verschaffen. Denn die meisten Menschen neigen dazu, immer das gleiche Kennwort zu verwenden. Gleichzeitig könnten die Angreifer eine Vielzahl solcher Links im Web 2.0 oder bei Google streuen und unbedarfte User würden sie bedenkenlos nutzen.
Der Wegbereiter sind typische Schwachstellen in Social Networks, die sich mit denen anderer Web-Applikationen decken. Die in vorherigem Fall angewandte Angriffsmethode nennt sich Redirecting-Attacke und lässt sich auf alle möglichen Plattformen übertragen, für die eine Authentifikation notwendig ist. Weitere WepApp-Schwachstellen (siehe http://www.owasp.org/index.php/Top_10_2007) erlauben die Ausführung diverser Skripts, um User-Sitzungen zu “stehlen“, Websites zu verunstalten, Malware zu installieren etc.
Marco Di Filippo, Regional Director Germany bei Compass, erklärt: „Ursache sind die zum Teil fehlerhaften und unsicheren technologischen Umsetzungen dieser Internetdienste bzw. Web-Applikationen. Programmierer konzentrieren sich bei der Entwicklung häufig primär auf die Funktionalität, anstatt auf die Security. Neben den seit Jahren bekannten Schwachstellen werden zunehmend neue Verwundbarkeiten entdeckt, die es Angreifern beispielsweise erlauben, auf nicht freigegebene Informationen zuzugreifen.“ Vor wenigen Wochen wurde z.B. die Internetseite von Wolfgang Schäuble und des FC Schalke gehackt. Auf letzterer wurde eine Meldung platziert, die besagte, dass Kevin Kurani von seinen vertraglichen Pflichten entbunden wurde und vom Verein mit sofortiger Wirkung freigestellt worden sei. Wie sich herausstellte, war hierfür eine Sicherheitslücke im Content-Management-System Typo3 (SQL-Injection-Lücke) verantwortlich.
Diese Art Schwachstellen machen sich Angreifer zu Nutze. Als ICT-Sicherheits-Dienstleister entdeckt Compass regelmäßig neue Angriffsszenarien und macht durch Live-Demos sowie Web Application Security-Tests auf die Gefahren aufmerksam, um so zu deren Beseitigung beizutragen.
Unternehmensinformation / Kurzprofil:
Kurzporträt Compass Security AG:
Die 1999 gegründete Compass Security AG mit Sitz in Rapperswil (CH) hat sich als europäisches Dienstleistungsunternehmen auf Security-Assessments zur Vertraulichkeit, Verfügbarkeit und Integrität von Unternehmensdaten spezialisiert. Mittels Penetrationstests, Ethical Hackings und Reviews beurteilt Compass ICT-Lösungen hinsichtlich Sicherheitsrisiken präventiv, spürt vorhandene Schwachstellen auf und unterstützt bei deren Beseitigung. IT-forensische Experten ermöglichen durch Erfassung, Prüfung und Auswertung digitaler Spuren die Rekonstruktion und beweisdienliche Dokumentation von Missbrauchsfällen im Zusammenhang mit digitalen Systemen. Praxisnahe Workshops und Schulungen zum Thema IT-Security sowie Live-Hacking-Vorträge zur Usersensibilisierung runden das Portfolio ab. Neutralität und Produktunabhängigkeit sind dabei wesentliche Bestandteile der Unternehmensphilosophie. Der Kundenstamm setzt sich aus nationalen und internationalen Kunden jeglicher Größenordnung und unterschiedlicher Branchen zusammen. Weitere Informationen unter: www.csnc.ch
Weitere Informationen:
Compass Security AG
Postfach 1628
Glärnischstrasse 7
CH-8640 Rapperswil
Tel.: +41 55 214 41 60
Fax: +41 55 214 41 61
www.csnc.ch
PR-Agentur:
Sprengel & Partner GmbH
Nisterstraße 3
D-56472 Nisterau
Ansprechpartner:
Ulrike Peter
Tel.: +49 (0)26 61-91 26 0-0
Fax: +49 (0)26 61-91 26 0-29
E-Mail: ulrike.peter(at)sup-pr.de
www.sup-pr.de
Datum: 06.05.2009 - 08:53 Uhr
Sprache: Deutsch
News-ID 87732
Anzahl Zeichen: 0
Kontakt-Informationen:
Kategorie:
New Media & Software
Meldungsart: Produktinformation
Versandart: Veröffentlichung
Freigabedatum: 06.05.2009
Diese Pressemitteilung wurde bisher 489 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Compass Security AG weist auf Sicherheitslücken in Social Networks hin"
steht unter der journalistisch-redaktionellen Verantwortung von
Compass Security AG (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Jona, 26. September 2011 ? "Uns passiert das schon nicht!" ? Manche Unternehmen wiegen sich in trügerischer Sicherheit, was Security-Maßnahmen für firmeneigene Mobile Devices, die Cloud oder VoIP-Verbindungen betrifft. Wie schnell Hacker tatsächlich Zugriff auf Firmendaten erlangen k
Swiss Cyber Storm 3: Internationale IT Security-Konferenz in der Schweiz ...
Die Compass Security AG bietet den Besuchern der „Cyber Storm Briefings – Meet the Lead“ am Donnerstag, 12. und Freitag, 13. Mai die Möglichkeit, mehr über aktuelle Security-Bedrohungen und die in der Praxis angewandten Methoden bei der Ermittlung von Hacking-Fällen zu erfahren. Die interna
Compass Security auf der it-sa: Live-Hacking-Sessions beleuchten Angriffsszenarien auf Smartphones ...
Die Compass Security AG hat sich auf Dienstleistungen und Lösungen rund um ICT-Security spezialisiert. Im Vordergrund stehen dabei Security-Assessments zur Vertraulichkeit, Verfügbarkeit und Integrität von Unternehmensdaten. Bei ihrem diesjährigen Messeauftritt auf der it-sa fokussiert Compass a
Weitere Mitteilungen von Compass Security AG
Clavister beseitigt Risiken rund um Cloud Computing ...
Andreas Åsander, VP Product Management bei Clavister, erklärt: “Cloud Computing ist simpel: Auf der einen Seite befinden sich die Client-Com¬puter und die für den Zugriff auf das Cloud Computing-System erforder¬lichen Applikationen. Auf der anderen Seite sind die verschiedenen Com¬puter, S
PRTG Network Monitor überwacht E-Mail-Übertragung ...
PRTG Network Monitor ist eine umfassende Netzwerk-Monitoring-Lösung. Sie erstreckt sich von der Verfügbarkeits-, Bandbreiten- bis hin zur E-Mail-Überwachung. Die neuen „SMTP & IMAP“- und „SMTP & POP3“-Round Trip-Sensoren überwachen die „End-to-End“-Zustellung von E-Mails. Dab
REALTECH ermittelt Auslastung von SAP-Servern und optimiert den Nutzungsgrad der IT-Systeme ...
Walldorf, 6. Mai 2009 – Die REALTECH AG, Hersteller von Software für das IT Management sowie SAP-Beratungshaus, bietet ab sofort die Möglichkeit zur weitergehenden Analyse von SAPS-Benchmarks in SAP-Landschaften. Ziel ist es, auf Basis der ermittelten Werte den Auslastungsgrad von IT-Systemen fe
Finance Forum Germany 2009: Axway demonstriert Lösungen für reibungslosen Datenaustausch und Collaboration in der Themenwelt Core Banking Solutions ...
Frankfurt am Main – 6. Mai 2009 – Axway, weltweit führender Anbieter von Multi-Enterprise-Lösungen und -Infrastrukturen, zeigt sein Lösungsportfolio für den Finanzsektor während des Finance Forum Germany 2009. In den Mittelpunkt stellt Axway am Stand 2 in der Themenwelt Core Banking Soluti
