Seraphyn Blog

Die Meldung zur 24ten Ausgabe von (IN)secure erreichte mich eben per Mail.



Als Aufmacher gibt es in dieser Ausgabe folgende Themen:

• Writing a secure SOAP client with PHP: Field report from a real-world project
• How virtualized browsing shields against web-based attacks
• Review: 1Password 3
• Preparing a strategy for application vulnerability detection
• Threats 2.0: A glimpse into the near future
• Preventing malicious documents from compromising Windows machines
• Balancing productivity and security in a mixed environment
• AES and 3DES comparison analysis
• OSSEC: An introduction to open source log and event management
• Secure and differentiated access in enterprise wireless networks

Somit wieder ein wenig mehr Wissen, welches man sich aneignen sollte.
Der Download befindet sich wie immer auf http://www.net-security.org/insecuremag.php

Heute erreicht mich eine Mail von Michal Gladecki, Editor-in-Chief BSD Magazine, welche ich nicht vorenthalten möchte:

Dear Beta Testers,
I am writing to inform you that BSD Magazine is now transforming into afree monthly online publication. It will stay in the same quality and
form. It will look like the BSD Magazine one is familiar and comfortable with.

BSD Mag will be available to download at our website and sent to all newsletter subscribers.

The first online issue (2/2010) is going to come out in February. Since the magazine now becomes a monthly we will need even more help and involvement.
Also, please let me take this opportunity to thank all of you who helped with the upcoming issue 2/2010. Your efforts are much appreciated.

There is a new poll at our website where you can let us know which topics interest you most. Please do not hesitate to take a vote.
Thank you so much for your support!
Have a fantastic new year!
Best regards,
Michal

Somit wird nun aus dem BSD-Magazin scheinbar eine freie Online-Publikation. Der Hilfeaufruf ist ernst gemeint und ich hoffe einige Aktivisten kommen dem nach. Auch wünsche ich mir, dass es dem BSD Magazin vor lauter Linuxhype nicht ergeht wie manch anderem Magazin. Ich möchte nicht nun auf andere Onlinepublikationen verweisen, welche auf Linux gemünzt waren und trotz sehr starker Initiative seitens der Macher untergingen. OpenSource, seien es reine Anwedungen, oder auch unixoide freie Betriebssysteme leben von den Benutzer, dass sollte man nicht vergessen. Somit, nicht das Wissen horten und spiegeln, Neu erschaffen und verbessern.
BSD Magazin

Mich erreicht eben eine Mail von Karolina Lesińska, Produktmanagerin von hakin9, Linux+ DVD und dem BSD Magazin:

Date: Wed, 21 Oct 2009 10:47:46 +0200
From: Karolina Lesińska
To: Michal Gladecki
Subject: Fwd: BSD magazine - new editor
User-Agent: KMail/1.9.5

Dear Betatesters,

Hope all is well on your end.

I will not be taking care of BSD magazine any more. From now on your contact is Michal (cc'd).

Hope you will support him and be a helping hand especially at the beginning:)

I was a great pleasure to work with you!

all the best
Karolina
--
hakin9 magazine
Linux+ DVD
BSD magazine
Karolina Lesińska
Product Manager

Ich möchte ich hiermit bei  Karolina Lesińska für den starken Einsatz bei dem BSD Magazin danken und wünsche Ihr noch alles Gute und hoffe, dass das BSD Magazin mit Herrn Michal Gladecki auf alle Fälle erhalten bleibt, welches ja in der vorherigen Zeit nicht so sicher war.

Mich erreichte eine Mail:

Dear Betatesters,

I would like to ask for your help once again:)

We need to increase the popularity of the magazine and that is why we are
giving out free issues.

I would really appreciate if you could make some posts on your blogs and
friendly portals that there still is the free issue to download on our
website: 2/2008 OpenBSD in the Limelight.

The link to the right section is:

http://bsdmag.org/prt/view/pdf-articles.html

Thanks in advance!!!

best regards
Karolina

Gerne mache ich das, aber unter massiven Vorbehalt. Ups, mögen nun manche sagen und sich ein wenig wundern, denn das BSG-Magazin ist wirklich Gut, aber an der freien Ausgabe hinkt es massiv. Klickt man die freie Ausgabe an, passiert zuerst einmal nichts, liegt an dem Scriptblocken meines/Eueres Browsers. Somit, Scripte erlaubt und ein nettes Pop-Up mit einem Text geht auf:

Please fill in the form with your email address and you will be
automatically signed up for our newsletter. We do not sell, trade, or
exchange the addresses.

Auf der linken Seite ist ein nettes Kreuz und wer jenes anklickt, der bekommt nichts. Ich finde das nicht Gut und es lässt für mich nur die Entscheidung zu, dass ich mir nicht die freie Ausgabe herunterlade, auch wenn Sie meines Erachtens wert wäre. Schade, so etwas hätte ich nicht gedacht.
Vielleicht kommt ja wieder mein Lieblingskommentarspammer und bezeichnet mich als polemischer Idiot, aber ich gebe Ihm den Tipp es doch gleich zu lassen. Zu viel Arbeit mit den Captcha und vor allem bei solchen Aussagen gebe ich das Kommentar nicht frei. Vielleicht ein wenig mehr rethorisch an die Sache gehen, wie z.B. " Du bist meiner Meinung nach ein nicht positiv gestimmtes Individuum, welches aufgrund seines Stolzes nicht die Möglichkeit der hierin liegenden Faszination des Freigutes beachtet. Dadurch empfinde ich eine Verachtung für Dich und muss gestehen, dass mein erster Einfall eine Aussage ist, dass Du es doch vielleicht einmal selber versuchen solltest solch ein Magazin aufzustellen und zwar in einer Form, welche Dir passt und den journalistischen Faktor des anderen Magazins überbietet". Auf so ein Kommentar lasse ich mich doch gerne ein;)

3 Books Giveaway – Learning Nagios 3.0, Hacking Vim and Mastering OpenLDAP
Manchmal freut man sich über Werbegschenke (Giveaway) über alles. Ich gehe mal davon aus, dass die meisten auch diese Giveaways strahlend in Ihren XPDF begrüssen, wie ich auch.

Password Advice by Bruce Schneier
Es ist ein elendiges Thema, aber es muss sein. Auch ich habe es oft genug angesprochen, Tipps, Anleitungen geschrieben. Aber was letzendlich übrigbleibt sind Dinge wie "$NEFFE$GEBURTSJAHR"; "$KATZENNAME1234", oder sonst irgendwelche lustigen Gebilde, welche nicht wirklich einen netten Passwortcracker mit BruteForce/Wörterbuchattacke und Social Engineering stoppt. WrssdNuW ist ein nettes Bsp, welches ich immer gene nenne. Nur wie merkt man sich es? Wer reitet so spät durch Nacht und Wind. Setzt man nun noch ein ? an das Ende ( Sonderzeichen) inkl. den Geburtstag der liebsten an jede zweite Stelle, dann erhält man etwas sehr nettes und man kann es sich gut merken.

Productive Magazine issue #3 with Michael Bungay Stanier
Prokastinierung. Meiner Meinung nach das Wort des Jahres 2009. So oft wie dieses Jahr wurde die Aufschieberitis mit der Paarung von "mach-deinem-krempel-Fertig-Listenquatsch" wie niemals zuvor durch das Netz der Netze gehetzt. GTD und Konsorten mögen eine nette Sache sein, nur kommt es mir langsam vor, als hätte Moleskin diesen ganzen Spaß aus Werbemaßnahmen hervorgerufen. So weit, so Gut, für meine Seite habe ich meinen Weg gefunden.

The Definitive Guide to htaccess Techniques: Do’s and Don’ts
.htaccess, für viele ein Buch mit sieben Siegeln, aber meiner Meinung nach, nicht wirklich schwer und immer für einen Hack Gut. Ich denke ein kleiner Einstieg mit ein paar Hints.

Chinese Firm Writes First SMS Worm
Und das ist erst der Beginn des Endes. IMO, Telefon schlicht einfach ist perfekt, max noch einen MP3/OGG-Player und eine Kamera für Unfälle. Mehr nicht. Aber wer auf die Idee kam den netten Telefonen ein komplettes OS zu bescheren hatte einen massiven Hau. Wer braucht denn wirklich aufgrund von nichtvergnügen die ganzen PIMeleien? sind wir doch mal ehrlich, es ist nichts anderes als Gizmospielerei mit netten Features.

Nagios: Monitor Cisco Routers Course
Oben das Buch, hier nun der freie Kurs. Ich kann nicht stark genug betonen, wie wichtig Nagios in einem Netzwerk ist.

10 Essential UNIX/Linux Command Cheat Sheets
Du musst Wissen... Genau!
Meiner Empfehlung nach ist http://cb.vu/unixtoolbox.xhtml wirklich sehr Gut.
Hier werden nämlich sehr positiv die Befehle untereinander verglichen (FreeBSD/Linux/Solaris.. wo ist AIX?) und für Umsteiger ist das ganze somit perfekt. Zwar wird nicht wirklich auf die Unterschiede der Shells (sh,ksh,tcsh,bash) eingegangen, aber genau für dieses Thema habe ich ein sehr gutes Buch. Es kann auch nicht alles bis in das kleinste Detail erkörtert werden. Somit, IMO gut gemacht.

Xplico – Network Forensic Analysis Tool
The goal of Xplico is extract from an internet traffic capture the applications data contained. For example, from a pcap file Xplico extracts each email (POP, IMAP, and SMTP protocols), all HTTP contents, each VoIP call (SIP), FTP, TFTP, and so on. Xplico isn’t a network protocol analyzer. Xplico is an open source Network Forensic Analysis Tool (NFAT). Xplico is released under the GNU General Public License (see License for more details).
Das lasse ich doch einfach mal so stehen und werde dafür keine An/Einleitung machen. Wer es nutzen möchte, muss sich schon selbst damit auseinandersetzen. Happy Penetration wünsche ich.

Wer nun den Unterschied zu den älteren News findet...

Textfiles.com Needs Your Help
Jason Scott, owner of textfiles.com and long time friend of the c0w, has come up short this quarter on his hosting bill and needs some help. If you want a good overview of what all Jason and textfiles.com does and hosts, check out the site's 10 Year Anniversary. Jason is single-handedly archiving "everything digital", and could use a hand.
Ein Teil der Geschichte des Internets, seien es BBS, Ham Radio, Phreaking, oder auch die Archive von cDc, PHAIT, BLACKCIRCLE

Database Administrators Playing Increasingly Crucial Role In Security
In the past, database administrators weren't expected to do much with security. Their focus was on the speed, performance, and accuracy of the data. Security was a relatively low priority.
Echt? Und ich dachte immer, Sicherheit hat jeden anzugehen, ob DBMS, oder nicht. Kommt mir bitte nicht jetzt mit Jericho, alte Socken in neuer Verpackung.

40+ Awesome Typography Wallpapers, serious inspiration
I have a soft spot for good quality typography. It is just nice and inpireing to look at I think. Adding typography art to desktop wallpapers seams to be quite common and it gives us a good oppertunity to have a source of typography inspiration in a place where we wont forget to look at it. So why not look through the more than 40 awesome Typography Wallpapers collected for you in this article. Most wallpapers are available in the common resolutions even though it is not indicated here. A few of the picks here require registration to download but all are free.
Typos FTW.

"Don't You (Forget About Me)"
R.I.P. John Hughes – Der Tag an dem Hollywood einen seiner Könige verlor und da gebe ich den Fuenf-Filmfreunden recht.
Ich meine "Breakfast Club" war einer der Filme, welcher meine Jugend einen neuen Blick auf die Welt gab, wem nicht der auch Anfang der Siebziger gebohren wurde. Pretty in Pink, She's Having A Baby, und vor allem Ferris macht Blau. Klingelts? Werden Erinnerungen wach? Ich empfand Mainstreamkino nie mehr wieder so, wie es Hughes schaffte. Für mich bedeutet es mal wieder die alten Filmhits rauszukramen und heute Abend ein Stück Geschichte in Form von Andrew, Claire, John, Allison und Brian einzulegen und auch an ein paar von mir gehasste Leherer damals zu Gedenken. Danke John, werde Dich nicht vergessen, es war irgendwo eine Rebellion unter Pupertierenden der "Breakfast Club"..

Large Tileable Abstract Nebula Textures
Today’s web treat is a free combo pack of 3 large (1024px * 1024px) seamless tileable abstract nebula textures in .jpg format as well as a corresponding Photoshop tileable pattern (.pat) set.

SexyLightBox - sexier and more lightweight than the classic LightBox
SexyLightBox is a clone of classic Lightbox , but it's more sexier and lightweight than the classic LightBox. It was built for web designers , so it is really easy to install and use.

Zeigt her Euren Desktop
Erinnert sich noch wer an unseren kleinen Aufruf? Es ist mal wieder an der Zeit, dass ich von Euch E-Mails bekomme.  Los, schickt mir alle einen Screenshot von Eurem Desktop - optimal mit Links zum ursprünglichen Bild, den evtl. eingesetzten Tools. Einsendeschluss ist nächste Woche Freitag, der 14. August.
Schade, dass bei mir nicht so viel los ist. glaube nicht, dass man so wenig sehen möchte...

Biculturalism by Joel Spolsky
By now, Windows and Unix are functionally more similar than different. They both support the same major programming metaphors, from command lines to GUIs to web servers; they are organized around virtually the same panoply of system resources, from nearly identical file systems to memory to sockets and processes and threads. There's not much about the core set of services provided by each operating system to limit the kinds of applications you can create.

Ausgabe 21 des (IN)secureMagazins ist heute erschienen und bietet ein Menge neuer Berichte, welche sich wirklich sehen lassen.
Eines der Themen ist natürlich Windows 7, aber auch die Problematiken in Sachen PDF werden angesprochen.
Eine kleine Einführung in Wireshark und ein ernst gemeinter Hinweis auf unsere "geliebten" Sozialnetzwerke in Sachen Sicherheit finden genauso Beachtung, wie Deutschland und seine Internetfilter.
Das ganze wirklich geschmacklich abgerundet durch eine Prise Black Hat Europe 2009, Infosecurity Europe 2009, RFID und und und.

Somit, zum Download und wer die vorhergehenden Ausgaben verpasste hat die Möglichkeit im Archiv fündig zu werden.

Ausgabe 20 des (IN)secureMagazins hat sich Heute per Mail angemeldet. Als Themen gibt es diesmal das bauen eins USB-basierten BackTrack mit bleibenden Veränderungen und Nessus, was man über Tokenisierung wissen sollte, MacOSX-Sicherheit, Web2.0-Studien und noch einiges mehr. Ich will ja keinen Lesebefehl ausrufen, aber wenigstens anraten. Und wer das PDF nicht mag, kann es mir ja zuschicken, ich werde es aufheben ;)

Das letzte mal als ich von dem o3 Magazin hörte war im Jahre 2007 ( siehe auch den Post im Blog: Das o3 Magazin mit Ausgabe 9 erschienen), genau genommen am 5.11.2007. Ich ging immer wieder auf die Homepage, nichts Neues passierte. Teilweise war die Homepage nicht erreichbar. Ich fand dies mehr als Traurig, da dort immer fundierte Artikel erschienen sind, welche dem Linux-Magazin in nichts nachstanden und diese Ausgaben frei erhältlich waren. Nun, ich wollte mal wieder in alten Zeiten schwelgen und die Hoffnung nicht aufgeben, Heute erschien die Homepage rasend schnell in meinem Browser und mir wurde offenbart, dass eine neue Ausgabe erscheint.

Issue 10: Network Monitoring Download Available Shortly

• Monitoring Networks with ZenOSS
• Graphing the Network with Cacti
• Monitoring Latency with SmokePing
• SIP Routing with OpenSIPS
• Proxying RTP for VoIP with RTPproxy

Somit hoffen wir, dass diese Ausgabe schnell erscheint fingerreib
Danke o3-Magazin-Team

Ausgabe 158 Januar 2009 ist frisch aus dem HTML-Editor gekommen. Eine Anleitung für Sendmail mit dovecot unter RHEL 5, einführung in den Exim-Mailserver ( Standard in Debian), Gnuplot in Action, 2Cent Tips und besser suchen mit Hyperestraier sind als Themen für die Ausgabe zu nennen. Somit sehr Gut geschriebener Tobak für den Nichtanfänger, sondern für den langjährigen Linux/Unixhacker.

Die Ausgabe Nummer 148 der Linux Gazette hat das Licht der Welt erblickt. Die Themen sind unter anderem die Erstellung und Erweiterung von LVM (Logical Volume Management), ein Artikel über strace, drei Ansätze um portablen Code unter Linux zu schreiben und drei 2Cent-Tips.

Traurig, aber wahr. Für mich sind die Beiträge im Linux-Magazin immer sehr fundiert gewesen, bis Dato. Ich fand es schön auch mal eine Gegenseite zu lesen, obwohl mir nach dem Lesen des PDF in dem Blogpost klar war, dass da wirklich Bullshit betrieben wurde und jemand, welcher Claws Mail nutzt nicht gegengelesen hat. GPG bereitete mir absolut keine Probleme, nicht mal eine Herausfoderung und auch Spamassassin nicht, wobei ich zugeben muss, das ich da einiges selber noch gemacht habe. Nun im Wiki von Claws Mail gibt es genug Scripte und Erklärungen, dass auch ein Beginner Gut zurecht kommen würde. So far, so good Mirko Albrecht halt Bullshit verzapft und nicht Neutral, schon gar nicht fundiert geurteilt.

Ausgabe #145 der Linux Gazette für den Dezember 2007 ist erschienen. In der Ausgabe geht es unter anderem um das Thema “Linux auf ARM basierenden Single Board Computern” anhand eines Armadillo 9 Boards und Postscriptgrafiken mit PyX, einem pythonbasierenden Werkzeug.
Ausgabe #145

Ab Heute gibt es wieder Lesestoff. Mit vielen feinen Themen, wie z.B. ZENSIERT WEGEN §202a/b/c, Interview mit Robert "RSnake" Hansen, die Zukunft der Verschlüsselung, Netzwerkzugriffskontrolle, Datensicherheit und Identitätenmanagement etc. Einen Review von Kaspersky Internet Security 7.0 ist zudem auch noch vorhanden, wobei Kaspersky zugleich auch der Sponsor dieser Ausgabe (Oha) ist. Nun, ich kann es leider nicht vergleichen, wie Gut die Suite wirklich ist (Obwohl die die Eigenschaften für sich sprechen), hoffe, dass (IN)secure nicht mauschelt auf Grund von Sponsoren. Bei Kaspersky kann ich es mir allerdings auch nicht vorstellen, da ich schon sehr oft Gespräche mit Mitarbeitern hatte und diese wirklich mir nicht so erscheinen, als wären es ...
Wie jede Ausgabe lohnt sich auch diese 114 Seiten starke wieder.
Das PDF, sowie das Archiv ist Hier zu finden.

Das OpenSource Enterprise Magazin o3 steht mit der Ausgabe 9 zum Download bereit. Nach Ausgabe 8 mit dem Schwerpunkt “Enterprise Email Solutions” (Building Secure Postfix Appliances, Using DSPAM, Dovecot etc.) geht es in Ausgabe 9 diesmal um “Open Source Publishing”. die Artikel handeln von der Newslettererstellung mit Open Office, Open Source Publishing mit Scribus und z.B. Gimp. Von 22 Seiten sind leider 8 Stück mit Werbung, Gut es muss sich auch finanzieren. Ich fand die vorhergehenden Ausgaben etwas besser, aber ich denke das liegt eher im Auge des Betrachters. Interessiert bin ich auf jeden Fall an der nächsten Ausgabe, da sich jene um Monit, zenOSS, Linux Bandbreitenmanagement etc dreht.
o3:magazine