Security

The “Heartbleed” vulnerability of OpenSSL is in the news – well, actually a big part of world´s computer systems can be affected. And your accounts too! Who is affected? Are your passwords still safe? What to do? I collected some information about the vulnerability here, hope it helps for your understanding. What is OpenSSL and what is it used for? OpenSSL is a common library on Linux for providing encryption functionality. The OpenSSL encryption software library is used by many websites to protect customers’ data. OpenSSL 1.0.1 contains a vulnerability that could disclose sensitive private information to an attacker. ...

Im Knowledge Base Artikel KB2850035 findet sich eine Liste aller Service Pack 1 (SP1) Updates für Microsoft SharePoint 2013 und verwandte Server Produkte mit Bezugsquelle. List of all Service Pack 1 (SP1) updates for Microsoft SharePoint Server 2013 and related server products Dazu ist auch gleich der KB-Artikel mit einer Beschreibung zum SP1-Update vorhanden. Praktisch! Update 27.02.: Have a look at Sahil Malik´s post What is new in SharePoint 2013 SP1!

Seit kurzem darf ich mich als “Kemp Certified Consultant” bezeichnen. Gemeinsam mit Christian Lapacka war ich auf dem Zertifizierungstraining und kann jetzt behaupten ein wenig zu verstehen wie diese Load Balancer funktionieren. Sie fragen sich was genau Kemp ist? Nun ja, Kemp ist Hersteller für Hardware (Virtuelle) Load Balancer Systeme. Im Prinzip gehts darum eine Applikation bzw. ein Service redundant zur Verfügung zu stellen und Zugriffe entsprechend auf mehrere Systeme dahinter zu verteilen. Interessant wird das vor allem für Services wie Exchange 2010 Client Access, Sharepoint oder Lync. Am Beispiel von Exchange wird zwar “offiziell” (siehe Load Balancing in TechNet) auch immer wieder davon gesprochen dass simples DNS Round-Robin genauso verwendet werden kann (Supported hin oder her..), aber das ist nun mal auch kein Load Balance und schon gar kein Failover. Es ist halt a bisschen von beidem und alles nur halb. Warum ist einfach erklärt (siehe KempTechnologies.com: MS Exchange 2013: Useful blog post about load balancing 2013 vs 2010). ...

In einem aktuellen Artikel der Frankfurter Allgemeine findet sich eine Auflistung von Diensten in unserem elektronischen Alltag die NSA ausspionieren kann. Das kann die NSA wirklich Foto Quelle: https://flexodaily.andersonvreeland.com Hier die Auflistung der FAZ: Das kann die NSA wirklich. Schöne zusammengefasste Liste mit Querlinks zu weiteren interessanten Artikeln. Die NSA… …kann bei Telefongesprächen die Rufnummern und den Aufenthaltsort der Gesprächspartner zurückverfolgen. …kann aus abgegriffenen Handydaten Bewegungsprofile von privaten Nutzern erstellen. Auch in den Vereinigten Staaten …kann die Mobiltelefone von ausländischen Staatschefs abhören. …kann auf Glasfaserkabel in ganz Europa zugreifen. …hat Gebäude der Vereinten Nationen und der Europäischen Union verwanzt und kann diese abhören. …hat Zugriff auf den internationalen Zahlungsverkehr und damit Einsicht in die Bankdaten von Privatkunden. …fängt täglich Millionen SMS ab und scannt diese. …speichert, ließt und filtert täglich Millionen E-Mails. …kann sensible Daten von Smartphones auslesen und speichern. …nutzt amerikanische Botschaften als Horchposten. …fängt mit ihrer Spionagetechnik auf amerikanischen Gebäuden im Ausland Kommunikation ab. …infiltriert die Server der Internetkonzerne Yahoo und Google. Nutzerdaten werden abgegriffen. …übt Druck auf E-Mail-Anbieter aus, Daten ihrer Kunden preiszugeben. Yes, we can. So we do…

Windows 8.1 ist seit letztem Herbst verfügbar und bringt auf den ersten Blick vielleicht wenig Unterschiede zu Windows 8. Tatsache ist jedoch, dass viele Neuerungen von Windows Version 8.1 vielfach unbekannt und unterschätzt sind. Diese beginnen bei kleinen optischen Details wie dem zurückgekehrten Startmenü-Button, der neuen Suche, dem neuen Store, den neuen Bibliotheken, neuen PC-Einstellungen, durchgängige Integration mit der Cloud, Secure Boot, BYOD und enden bei … Security. Wenn Sie die Security-Neuerungen interessieren, empfiehlt sich ein Blick in die Microsoft Virtual Academy (MVA). Dort finden Sie die wichtigsten Neuerungen von Windows 8.1 in fünf Modulen zusammengefasst: Zum Erlernen und Durchklicken. ...

Derzeit sind die Themen Datensicherheit und Prism top-aktuell in allen Medien vertreten. Es ist anzunehmen und wahrscheinlich, dass alle Geheimdienste und staatliche Agenturen dieser Welt hinter allen möglichen elektronischen Daten her sind, diese analysieren und protokollieren. Technisch gesehen ist das “der” Anwendungsfall für Big Data … Unmengen an Daten müssen in Echtzeit analyisiert und protokolliert werden. Der Protokollierung entgehen Es gibt diese Methoden, dem Protokollierungswahn zu entgehen: Entsagung: Keine Verwendung von elektronischen Medien (kein Telefon, Fax, Internet), keine Post senden und öffentliche Plätze mit Überwachungen meiden. Einkaufen nur mit Bargeld, kein Konto besitzen, alle Bezahlungen in bar aufgeben, kein Auto, keine Versicherungen, etc. Sprich: auf ein Leben in unserer modernen Gesellschaft verzichten. Und eventuell Brieftauben züchten. ...

Exchange Online Protection ist das Antispam- und Antivirenservice von Microsoft, welches auch viele Kunden mit ihren On-Premises Exchange Servern verwenden. Das hat viele Vorteile, garantiert Exchange Online Protection (EOP, vormals FOPE, vormals EHS) ja 100% Mailvirenschutz und 98% Spamschutz. Lange Jahre begleitet mich dieses Produkt nun schon und egal wie es gerade heißt, es ist einfach immer noch sehr sehr gut. Wenn man jedoch seinen eigenen Mailserver (endlich) aufgibt und zu Office 365 wechselt, sind hierbei ein paar Schritte zu beachten. ...

In Exchange Online gibt es die Möglichkeit, Microsoft Office Dateianlagen (docx, pptx, xlsx, etc.) direkt innerhalb der Outlook Web App Applikation anzusehen. Diese Möglichkeit wird durch die Web Access Components bereit gestellt, die ebenfalls durch die Office Web Apps genutzt werden. Um PDF Dateianlagen direkt aus der Outlook Web App anzusehen, wird WebReady Document Viewing verwendet. Dieses Feature wurde von Microsoft Ende August 2012 in den Online Services aus Sicherheitsgründen deaktiviert, da Microsoft Online Services Operations eine Sicherheitslücke in einer 3rd Party Komponente festgestellt hat. Amir Haque (Sr. Program Manager, Product Quality) hat dies in einem Community Beitrag mitgeteilt. ...

Für alle, die wissen wollen, was “die Amerikaner” von Microsoft mit den Daten machen, hier die Links zum Microsoft Trustcenter: Windows Azure: https://www.windowsazure.com/​en-us/support/trust-center/ Office 365: https://www.microsoft.com/​en-us/office365/​trust-center.aspx

Auf TechEd Europe 2012 hielt Aaron Margosis von Microsoft eine Session mit diesem reißerischen Titel. Dabei geht es vor allem darum, alte Web-Applikationen (Legacy Apps) sicher zu machen und sicher zu betreiben. Die Session-Beschreibung ist auf der TechEd Website hier zu finden. Die Session mit den Tags Security & Identityadressiert IT-Verantwortliche LOB-Apps sicher zu machen. Hier wurden nicht die üblichen Top-Web-Sicherheitslöcher wie Cross Site Scripting und SQL Injection & Co betrachtet, sondern Sicherheits-Themen, die weniger bekannt sind. ...