Über uns

Wir bauen echte Partnerschaften mit unseren Kunden auf

• News
• Articles
  • ISO/IEC 27001:2005
  • Deadly potential of APT

Warnung vor neuer IT-Sicherheitsbedrohung durch "Reverse Web Proxy Bypass"

Oktober 2011

Nach Context-Entdeckung: Apache veröffentlicht Sicherheitsempfehlung

Aufgrund der Entdeckung einer „Backdoor“-Bedrohung durch die Analysten von Context Information Security richtete sich die Apache Software Foundation am 5. Oktober 2011 mit einer Sicherheitsempfehlung an ihre Kunden. Die ermittelte Schwachstelle fällt in eine neue Angriffskategorie: Durch Ausnutzung von unzureichend gesicherten Reverse Web Proxies können Angreifer vollständigen Zugriff auf interne beziehungsweise DMZ (Demilitarised Zone)-Systeme erhalten. Context informierte Apache im September 2011 über diese Sicherheitsbedrohung. Am 6. Oktober 2011 veröffentlichen die Experten für Informations- und Datensicherheit in ihrem Blog eine detaillierte Beschreibung der neuen Angriffskategorie. Context geht davon aus, dass auch andere Web Server beziehungsweise Proxies in ähnlicher Weise betroffen sein könnten. Der Blog enthält daher auch Hinweise auf Möglichkeiten zur Risikominimierung. http://www.contextis.de/research/blog/reverseproxybypass

Reverse Web Proxies ermöglichen die Weiterleitung externer HTTP- und HTTPS-Web-Anfragen zu einem oder mehreren internen Web-Servern und den dort gespeicherten Daten oder anderen Ressourcen. Potenziell könnten auch andere Proxies eine derartige Sicherheitslücke aufweisen. Die spezielle Angriffsmöglichkeit, die Context identifizieren konnte, richtet sich jedoch gegen den Apache Web-Server. Dieser kann die Proxy-Funktion „mod_rewrite“ nutzen, um Web-Anfragen dynamisch und regelbasiert umzuschreiben und zu modifizieren. Falls diese Proxies nicht korrekt konfiguriert sind, kann Context eine Veränderung in der Zugriffsanfrage auf DMZ-Systeme erzwingen. Dies betrifft auch den Zugang zu administrativen Schnittstellen auf Firewalls, Routern, Web-Servern und Datenbanken. Im Falle von schwachen Zugangsdaten auf den angegriffenen Systemen können die Analysten das vollständige Netzwerk kompromittieren – zum Beispiel durch das Hochladen von Trojanern.

Das IT-Sicherheitsrisiko kann durch eine Überprüfung der Konfiguration der Reverse Proxies reduziert werden. Es muss sichergestellt werden, dass die „Rewrite“-Regeln nicht zum Umschreiben der URLs missbraucht werden können. Context hat die neueste Version seines „Context Application Tool“ (CAT) veröffentlicht, welches auf der Website des Unternehmens zum kostenlosen Download zur Verfügung steht (http://www.contextis.com). Mit CAT können potenzielle Sicherheitslücken in Web-Anwendungen identifiziert werden.

Die Regel auf dem Web-Server lässt sich durch das Hinzufügen eines Schrägstrichs sicher gestalten. Dieser führt dazu, dass der Reverse Proxy nicht den Domain-Namen und Teile des jeweiligen Ports einer Anfrage als Benutzername und Passwort interpretiert.

Eine gesicherte Rewrite-Regel würde wie folgt aussehen:

RewriteRule ^(.*) http://internalserver:80/$1 [P]

Ist der Server jedoch wie folgt konfiguriert, ist der Zugang zu anderen Systemen über das Internet wahrscheinlich.

RewriteRule ^(.*) http://internalserver:80$1 [P]

In seiner Sicherheitsempfehlung rät Apache den Nutzern der Apache HTTPD dringend ihre Konfigurationsdateien zu prüfen. Es gelte, unsichere Einstellungen für Reverse Proxy-Regeln umgehend zu identifizieren und anzupassen. Die vollständige Sicherheitsempfehlung ist unter folgendem Link zu finden: http://seclists.org/fulldisclosure/2011/Oct/232

Context stellt neuen Cloud Security Assessment Service vor

März 2011

Wir freuen uns, pünktlich zur Herausgabe unseres neuen Whitepapers „Cloud Computing – Assessing Cloud Node Security“ die Einführung unseres neuen Cloud Security Assessment Service verkünden zu können. Die wachsende Beliebtheit des Cloud Computing führt dazu, dass wir immer mehr Anfragen von Kunden erhalten, die den Sicherheitsstatus ihrer Cloud-basierten Systeme bestimmen und verbessern wollen.

Im Rahmen unseres neuen Serviceangebots beurteilen und überprüfen wir die Cloudsysteme unserer Kunden aus verschiedenen sicherheitsrelevanten Perspektiven. Zunächst betrachten wir das System von außen, aus der Sicht des World Wide Web. Um mögliche Schwachstellen in Ihrem Netzwerk und Ihren Anwendungen zu identifizieren, führen wir eine Reihe klassischer Penetrationstests durch. Da beim Cloud Computing Anwendungsumgebungen von vielen verschiedenen Personen genutzt werden, bewerten wir anschließend die Systemsicherheit von innen heraus und spielen das Szenario durch, dass ein Netzwerkknoten böswillig genutzt wird. Die Sicherheit des Systems wird durch einen kontrollierten Netzwerkangriff überprüft und festgestellt, ob es möglich ist, über die gemeinsamen Ressourcen Zugang zum Zielsystem zu erzwingen. Zum Schluss stellt Context die vorhandenen Sicherheitsmaßnahmen auf den Prüfstand, um Angriffe auf Ihr System auszuschließen. Wir überprüfen, ob eine Härtung des Netzwerkknotens erforderlich ist, wie der Knoten fernverwaltet wird und wie es um die externe und interne Sicherheitsstruktur bestellt ist, die den Netzwerkknoten umgibt.

Wie bei all unseren Risikobewertungen erstellen wir nach Abschluss des Audits einen förmlichen Abschlussbericht mit einer detaillierten Zusammenfassung der durchgeführten Tests, den genauen technischen Ergebnissen, einer Einschätzung der möglichen Konsequenzen und des Risikos eines Exploit-Angriffs. Außerdem sprechen wir konkrete Empfehlungen aus und stellen Ihnen Hilfsmittel zur Beseitigung bestehender Sicherheitslücken zur Verfügung.

Wir weisen darauf hin, dass Context die Risikobewertung bei Ihrem Cloud-System nur dann vollständig durchführen kann, wenn die vertraglichen Vereinbarungen zwischen Ihrem Unternehmen und Ihrem Cloud-Provider dies zulassen.

Erfahren Sie mehr über den neuen Cloud Security Assessment Service (Risikobewertungs-Service für Cloudsysteme).

Context veröffentlicht Whitepaper - Assessing Cloud Node Security

März 2011

Cloud Computing – Dieses Schlagwort ist mittlerweile in aller Munde. Cloud-Anwendungen bieten unbestreitbare Vorteile, die sie für viele Unternehmen zu einer attraktiven Option machen. Doch wie sicher ist Cloud Computing wirklich? Gibt es potenzielle Sicherheitsrisiken, die den Nutzen relativieren?

Um unseren Kunden die Sicherheitsproblematik beim Cloud Computing zu verdeutlichen, haben wir vier große Cloud-Dienste genau unter die Lupe genommen.

Im Verlauf der Untersuchungen hat Context Sicherheitsaspekte der Festplattenpartition sowie der Speicher-, Netzwerk-, Hypervisor- und Fernverwaltung eingehend überprüft, da diese die Netzwerkknoten, die den Cloud Clients zur Verfügung gestellt werden, unmittelbar betreffen. Unser Ziel war es, herauszufinden, ob und wie Cloud-Dienste möglichen Sicherheitsproblemen in diesen Bereichen entgegentreten. Unsere Ergebnisse zeigen, dass gravierende Fehler bei der Bereitstellung von Cloud-Lösungen dazu führen, dass einige große Anbieter die Daten ihrer Kunden erheblichen Risiken aussetzen.

Wir freuen uns, Ihnen das Ergebnis unserer Studie in Form eines Whitepapers mit dem Titel „Cloud Computing – Assessing Cloud Node Security vorstellen zu dürfen. In diesem Whitepaper beleuchten wir Sicherheitsrisiken der Cloud-Technologie, empfehlen bewährte Methoden zum Schutz von Cloud-Knoten und geben.

Lesen Sie die Cloud Whitepaper steht.

Context Information Security eröffnet Niederlassung in Australien

Februar 2011

Wir freuen uns zu verkünden, dass Context am 1. Februar 2011 eine neue Niederlassung in Melbourne, Victoria eröffnet hat.

Da unser Kundenstamm in Australien stetig wächst, schien für Context nun der richtige Zeitpunkt gekommen, in Australien auch physisch präsent zu werden. Der neue unternehmerische Vorstoß und die steigende Nachfrage am australischen Markt nach der qualitativ hochwertigen, professionellen Sicherheitsberatung durch Context erfüllt uns alle mit großem Stolz. Durch unser neues Büro in Melbourne werden wir in der Lage sein, noch besser auf die Bedürfnisse unserer Kunden in der APAC-Region einzugehen und auf das stabile Wachstum aufzubauen, das wir in den vergangenen Jahren erzielt haben. Wir alle freuen uns sehr auf diese neue Herausforderung.

Hier finden Sie die Adresse und die Kontaktdaten unseres neuen Büros.

Context geht mit eigenem Blog an den Start – Experten geben Einblick

Dezember 2010

Context betreibt ab sofort einen eigenen Blog, in dem User Expertenmeinungen zu wichtigen Themen aus dem Bereich der IT-Sicherheit lesen können.

Dank der umfassenden Forschungs- und Entwicklungsarbeit unseres Teams und der Zusammenarbeit mit institutionellen und anderen bedeutenden Großkunden gehört Context zu den besten Serviceprovidern der Sicherheitsindustrie. Unsere Experten werden über den Blog etwas von ihrem Erfahrungsschatz und dem Wissen, das sie tagtäglich bei ihrer Arbeit und ihrem Engagement in Forschung und Entwicklung gewinnen, weitergeben.

Thematisch konzentriert sich der Blog auf Sicherheitsbedrohungen und Risiken, denen Anwendungstechnologien in Schlüsselbranchen wie Finanzen, Handel, Recht und Verteidigung ausgesetzt sind.

Lesen Sie hier unseren Blog.

Simon Clow stellt bei der CrestCon 2010 neues Whitepaper vor: „Smartphones in the Enterprise“

Dezember 2010

Wir freuen uns bekannt zu geben, dass Simon Clow, Leiter der Forschung und Entwicklung bei Context, bei der Konferenz CrestCon 2010 als Gastredner auftreten wird. Er informiert über die Ergebnisse seiner neuesten Studie, die er in Zusammenarbeit mit Graham Murphy (leitender Sicherheitsberater bei Context und ein alter Hase auf dem Gebiet der mobilen Kommunikation) erstellt hat. Das Thema des Papiers ist die Nutzung von Smartphones im betrieblichen Umfeld.

Im Rahmen seiner Präsentation wird Simon darüber sprechen, welche Herausforderungen auf Unternehmen zukommen, die ihr IT-Sicherheitskonzept auf betrieblich genutzte Smartphones ausweiten wollen. Neben allgemeinen Sicherheitsfragen und bewährten Methoden zur Integration von Smartphones in das unternehmenseigene Sicherheitsnetzwerk wird er gerätespezifische Schwachstellen bei marktführenden Produkten ansprechen, die zur Bewertung ausgewählt wurden.

Weitere Informationen zur Smartphone-Studie finden Sie im Whitepaper, das Sie hier herunterladen können.

Außerdem wird Paul Stone bei der CrestCon 2010 einen Vortrag über seine Untersuchung zur neuen Generation des „Clickjacking“ halten. Lesen Sie hier das von ihm verfasste Whitepaper

Next Generation Clickjacking.

Context bestätigt RMDG-Mitgliedschaft

November 2010

Context Information Security gibt bekannt, dass das Unternehmen nun Mitglied der Risk Management Delivery Group (RMDG) ist, eines Partnerschaftsprogramms des britischen Centre for the Protection of National Infrastructure (CPNI), das mit dem Ziel ins Leben gerufen wurde, starke und dynamische Beziehungen zwischen führenden britischen Sicherheitsberatungsunternehmen aufzubauen.

RMDG-Mitglieder profitieren von einem Support, Briefings und der CPNI Sicherheitsberatung. Die teilnehmenden Unternehmen können ihren Kunden so umfassende, fachkundige Services im Bereich IT-Sicherheit anbieten und mögliche Schwachstellen in Sicherheitssystemen ganzheitlich identifizieren und beheben.

Context darf ein spezielles Logo verwenden, um darauf hinzuweisen, dass sich seine Empfehlungen auf den fachlichen Rat des CPNI stützen.

Mit der Aufnahme in der RMDG erkennt das CPNI die maßgebende und zuverlässige Supportleistung im Bereich Sicherheitsmanagement an, die Context seinen Kunden im kritischen Umfeld der britischen Infrastruktur bietet.

Mark Raeburn, CEO von Context sagt: „Wir freuen uns darüber, dass Context die RMDG-Vollmitgliedschaft erlangt hat. Wir profitieren bereits seit Jahren von der überaus professionellen Zusammenarbeit mit dem CPNI, doch die Mitgliedschaft wird die geschäftliche Beziehung noch weiter stärken und unsere Möglichkeiten verbessern, unseren Kunden in Sachen Sicherheit bestmöglichen Beistand zu leisten.“

Immer mehr Context Berater steigen in die Elite der Sicherheitsindustrie auf

November 2010

Wieder haben vier Context Berater ein oder mehrere Zertifizierungsprogramme des Council of Registered Ethical Security Testers (CREST) erfolgreich durchlaufen und gehören damit offiziell zu den vielen CREST-zertifizierten Experten in unserem Unternehmen.

Context gehört zu den vier einzigen Sicherheitsberatungsunternehmen, die Mitarbeiter beschäftigen, die alle drei CREST-Zertifizierungsstufen erreicht haben: CREST Application Certification, CREST Infrastructure Certification und die Prüfung zum CREST Registered Tester.

CREST ist eine Organisation, die Standards für die IT-Sicherheitsindustrie festlegt und deren Interessen vertritt. Sie stellt ihren Mitgliedern neben dem technischen Zertifizierungsprogramm ein Rahmenwerk mit Standards, Methoden und Empfehlungen zur Verfügung und hilft ihnen so dabei, Sicherheitsprüfungen stets nach den höchsten Standards durchzuführen.

www.crest-approved.org

Vier weitere Lead Auditors verstärken unsere fachlichen Ressourcen

Oktober 2010

Context gibt bekannt, dass vier neue nach ISO 27001 zertifizierte Lead Auditors ihre Erfahrung in den Dienst des Unternehmens und seiner Kunden stellen. Nach der erfolgreichen ISO-Zertifizierung (ISO/IEC 27001) des Unternehmens haben Jason Dewar, David Kierznowski, Simon Clow und Rob Marr das umfassende Schulungsprogramm von BSI durchlaufen und die Bedeutung des internationalen Standards für das betriebliche Informationssicherheitsmanagement genau studiert.

Unsere frisch gebackenen Auditoren können unsere Kunden zum Zertifizierungsprozess nach ISO/IEC 27001 beraten und sie auf dem Weg zur Zertifizierung begleiten. Außerdem sind sie in der Lage, detaillierte Aufwandsanalysen durchzuführen und dürfen vertrauliche Aufgaben wie Risikobewertungen übernehmen. Ob ein Kunde die ISO/IEC 2700- Zertifizierung anstrebt oder nicht – es ist immer sinnvoll, Sicherheitslücken im IT-Netzwerk aufzudecken und dem Kunden die Möglichkeit zu geben, die Sicherheit in seinem Unternehmen zu verbessern.

Einzelheiten zu weiteren Services von Context finden Sie hier.

Context Information Security Ltd erhält Zertifizierung nach ISO/IEC 27001:2005

Septemner 2010

Context hat den Zertifizierungsprozess nach ISO/IEC27001:2005 für unsere Standorte in London, Cheltenham und Düsseldorf erfolgreich durchlaufen. Die Bewertung erfolgte durch das britische Normungsinstitut BSI, das zu dem Ergebnis kam, dass Context alle international anerkannten Standards für Informationstechnologie und Sicherheitsmanagement im IT-Bereich erfüllt. Wir haben uns für die Zertifizierung bei der British Standards Institution entschieden, weil sie eine UKAS-geprüfte (United Kingdom Accreditation Service) Zertifizierungsstelle ist. Wir waren der Meinung, dass wir mit der Zertifizierung durch eine anerkannte Stelle unseren Standpunkt verdeutlichen und uns dadurch von anderen Anbietern in der Branche abheben. Context ist derzeit eines der ganz wenigen Unternehmen am Markt für Informationssicherheit, welche die Norm ISO/IEC 27001:2005 anerkennen und nach ihren Vorgaben zertifiziert wurden.

Eine ganze Weile hat Context nach einer Möglichkeit gesucht, sich die Anwendung anerkannter und bewährter Methoden der Branche bescheinigen zu lassen. Als Sicherheitsberatungsunternehmen halten wir es für wichtig, dass wir uns selbst und unseren Kunden deutlich zeigen, dass wir a) alles tun, um vertrauliche Daten zu schützen und unseren Kunden damit hundertprozentige Vertraulichkeit zusichern zu können und dass b) unsere Qualitätsgarantie kein leeres Versprechen, sondern gelebte Praxis ist.

Der ISO/IEC 27001:2005-Standard passt perfekt zum ganzheitlichen Sicherheitsansatz unseres Unternehmens, den wir sowohl bei unseren Services als auch bei unserer internen Unternehmensarbeit verfolgen. Die Norm regelt sämtliche Bereiche der Sicherheit, von der Dokumentation und Gewährleistung der technischen Sicherheit, über die physische bis hin zur personalbezogenen Sicherheit. Eine angemessene Umsetzung der Norm (Grundbedingung für die Zertifizierung) funktioniert nur dann, wenn alle Unternehmensbereiche mit eingebunden werden und die Geschäftsleitung permanent darauf achtet, dass in allen Regelungsbereichen der Norm ständig Verbesserungen vorgenommen werden.

Der Begriff „Informationstechnologie“ in der offiziellen Bezeichnung der Norm erweckt den Eindruck, dass es sich dabei um kaum mehr als eine lange Liste technischer Sicherheitskontrollen handelt, an die sich ein Unternehmen halten muss. Darum ist die Bezeichnung streng genommen falsch. Die Norm beschreibt ein Informationssicherheits-Management-System (ISMS), das alles andere als starr und unflexibel ist. Wir haben festgestellt, dass die Norm uns vielmehr einen hochpragmatischen Rahmen vorgibt, innerhalb dessen Grenzen wir die bestehenden Sicherheitskontrollen, die wir als sicherheitsorientiertes Unternehmen ohnehin bereits anwenden, durchführen können.

Für uns als Sicherheitsberatungsunternehmen hatte Datensicherheit schon immer höchste Priorität. Der ISO/IEC 27001:2005-Standard gibt uns ein Instrumentarium in die Hand, mit dem wir kontinuierlich beobachten, überprüfen und verbessern können, was wir tun. Context hat sich dazu entschlossen, den Zertifizierungsprozess vollständig, also mit dem Unternehmen als Ganzes, zu durchlaufen, sodass all unsere Leistungen und Standorte zertifiziert sind. Wir möchten dadurch zeigen, dass bei uns jetzt und auch in Zukunft bewährte Methoden Standard sind.

Context schätzt auch die Art und Weise, in der sich die Norm an die Bedürfnisse eines Unternehmens anpassen lässt. Sie liefert einen Basisrahmen für das Sicherheitsmanagement, der sich mit dem Unternehmen entwickelt und sich mit sinnvollen Maßnahmen ausgestalten lässt. Dieser Rahmen setzt einen Mechanismus in Gang, mit dem Sicherheitsmaßnahmen überprüft und ausgewählt werden können, die für die betrieblichen Abläufe besonders relevant und nutzbringend sind. Der Prozess endet nicht mit der Zertifizierung. Wir werden kontinuierlich bewertet, sowohl durch die BSI als auch durch einige unserer größeren Kunden. Wir können also garantieren, dass wir unseren ISMS-Rahmen jederzeit anwenden und den Sicherheitsstatus verbessern, wo immer es möglich ist. Um diese kontinuierlichen Verbesserungen weiterhin zu ermöglichen, haben wir ein internes Team aus qualifizierten ISMS Lead Auditors (Fachauditoren) zusammengestellt, das unsere Aktivitäten überwacht und darauf achtet, dass das Unternehmen nicht von seinem Fokus auf Sicherheit abweicht.

Durch die Zertifizierung unseres Unternehmens nach ISO/IEC 27001:2005 haben wir ein besseres Verständnis für die Risiken unseres Geschäfts entwickelt und an Gewissheit dazugewonnen, dass wir alles in unserer Macht stehende tun, um mögliche Bedrohungen abzuwenden. Wir hoffen, dass wir durch diesen Akt der unternehmerischen Sorgfalt unseren Kunden demonstrieren können, wie sehr uns an einer ganzheitlichen Herangehensweise an das Thema Informationssicherheit und damit am Schutz ihrer Interessen gelegen ist.

Wir bewerten diese Erfahrung als durchweg positiv und können den gewonnenen Wissensfundus nun an andere weitergeben. Unsere qualifizierten Beraterteams helfen Ihnen in jeder Hinsicht dabei, Ihr Unternehmen genauso erfolgreich durch den Zertifizierungsprozess zu lenken, wie wir es getan haben.

Mehr Informationen zu unserem Beratungsangebot im Bereich Informationssicherheit erhalten Sie hier.

Wir lassen die CATze aus dem Sack

September 2010

Michael Jordon, leitender Sicherheitsberater bei Context, tritt im September ins Rampenlicht, um der Fachwelt die Vorzüge des neuen Context Application Tools (CAT) zu präsentieren.

Jordon wird das neue Tool am 9. September in den Räumen von Deloitte in London bei einer Veranstaltung des Open Web Application Security Project (OWASP) und am 15. September im Novotel Leeds beim UK Local Chapter Event Vertretern aus der Fachwelt vorstellen. Er präsentiert die Hauptfunktionen von CAT und demonstriert Beispiele aus allen Bereichen der manuellen Prüfung von Webanwendungen, die man übrigens mit keinem anderen Tool durchführen kann. Sein Ziel ist es, das Fachpublikum umfassend über die Leistungsfähigkeit von CAT zu informieren. Außerdem wird er in einer Art Preview einige neue Funktionen vorstellen, die sich derzeit noch in der Entwicklungsphase befinden.

Context deckt Sicherheitslücke in Citrix-Client auf

August 2010

Context hat eine bisher unbekannte Sicherheitslücke im Citrix ICA Client entdeckt. Unser Chefberater Michael Jordon hat festgestellt, dass der Citrix Presentation Server Client (getestete Version: v10.150) keine Grenzprüfung am Feld „Type“ des ICA Graphics Paket ausführt. Dadurch können sich Hacker theoretisch über jedes mobile Endgerät, auf dem der Client installiert wurde, Zugriff auf den Computer verschaffen.

Ein Angreifer kann die Kontrolle über den Rechner übernehmen und beliebigen Code ausführen, wenn er den Nutzer dazu verleiten kann, einen von ihm kontrollierten Server aufzurufen. Das könnte beispielsweise durch das Aufrufen einer verseuchten Webseite oder durch das Öffnen einer nicht vertrauenswürdigen E-Mail geschehen. Das Problem betrifft Windows, Windows Mobile, Linux und Solaris Clients. Der ICA Client für Java und die Citrix Receiver für iPhone/iPad und Android sind nicht betroffen.

Citrix hat den ICA Client überarbeitet, um die Sicherheitslücke zu schließen. Weitere Details dazu finden Sie auf der Citrix Webseite.

Gelangen Sie mit Michael Jordon zu einer neuen Auffassung von sicherer Entwicklung

Mai 2010

Sicherheitsspezialist und Leiter der Forschung und Entwicklung bei Context Michael Jordon wird als Gastredner an der Konferenz International Secure Systems Development (ISSD) teilnehmen.

Jordon spricht über seine Erfahrung in der Entwicklung von Testing Tools für die sichere Entwicklung, die Bedeutung dieser Tools und bewährte Methoden im Entwicklungsprozess. Darüber hinaus stellt er einige Tools von Context vor (einschließlich des Context App Tools). Weitere Mitarbeiter von Context werden an anderer Stelle ebenfalls auf der Konferenz vertreten sein. Die Besucher der Veranstaltung können mit den Context Experten individuelle Sicherheitsanforderungen der Entwicklungsarbeit diskutieren.

Context ist offizieller Sponsor der ISSD Konferenz. Weitere Informationen zur Konferenz finden Sie auf der ISSD Webseite.

Paul Stone hält Vortrag auf der Black Hat Europe 2010

April 2010

Paul Stone, Consultant bei Context Information Security, hielt auf der Sicherheitskonferenz Black Hat Europe 2010 einen Vortrag über seine Forschungsergebnisse im Bereich Clickjacking der neuen Generation. Neben umfassenden Informationen von den Grundlagen bis hin zu den neuesten Techniken stellte er auch ein neues Tool vor, mit dem mehrstufige Clickjacking-Angriffe sehr einfach nachgestellt werden können.

Ausführliche Informationen über die Sicherheitskonferenz finden Sie hier auf der Black Hat-Webseite.

Whitepaper lesen

Clickjacking-Tool herunterladen

Context bringt CAT Beta 4 heraus

April 2010

Context Information Security freut sich, die Beta 4-Version des beliebten Context App Tools (CAT) bekanntgeben zu dürfen. Die jüngste CAT-Version beinhaltet unter anderem einen neuen Clickjacking-Tester, der Webseiten in der geframten und ungeframten Variante nebeneinander anzeigt. Damit können diese auf Frame Busting-Code wie z. B. X-Frame-Options-Header und JavaScripts geprüft werden, die Webseiten lahmlegen. Darüber hinaus wurde das Tool um neue Spalten für das Page-Caching und Tests der automatischen Vervollständigung erweitert.

Jedes Feedback zur neuen CAT-Version ist herzlich willkommen.

Die neue Version gibt es hier zum Download.

Context eröffnet neues Büro in Cheltenham

Juni 2009

Mit der Öffnung eines neuen Büros in Cheltenham erfüllt Context die Bedürfnisse eines wachsenden und dynamischen Marktes und bietet den dort ansässigen Kunden lokale Nähe und Kompetenz.

Context eröffnet neues Büro in Düsseldorf

März 2009

Context Information Security kündigte, mit der Gründung seiner deutschen Zweigniederlassung mit Standort in Düsseldorf, eine weitere Expansion an. Mit diesem neuen Büro ist die Firma besser in der Lage die Bedüfnisse seiner europäischen Kunden zu erfüllen.

© Copyright 2012 Context Information Security.

Main Navigation

• Home /
• Über uns /
• Herausforderungen /
• Unsere Dienstleistungen /
• Research /
• Kontakt