Aktuelles und Neuigkeiten
Wir haben mehrere Schwachstellen in Single-Sign-On-Komponenten von WatchGuard gefunden und veröffentlicht: Das verwendete Protokoll ist unsicher und kann umgeleitet werden, eine auf dem Telnet-Protokoll basierende Schnittstelle enthält eine Backdoor und der SSO Agent kann durch Senden von unerwarteten Eingaben beendet werden.
In unserem neuen Blog-Artikel beschreiben wir das Ausnutzen einer Remote-Code-Execution-Schwachstelle in der Open-Source-Lernplattform Moodle. Eine Kurzbeschreibung der von uns gefundenen Schwachstelle ist in dem dazugehörigen Advisory Moodle: Remote Code Execution via Calculated Questions zu finden.
Neues Advisory veröffentlicht: Skyhigh Security Secure Web Gateway: Information Disclosure Due to Same Origin Policy Bypass on Block Page.
Am 10. Juli 2024 wird Alexander Neumann den Vortrag „Behind the Screens: Insights and Stories of Real-World Penetration Testing“ auf Deutsch am IT Center der RWTH Aachen halten. Der Vortrag ist öffentlich und findet um 16:30 Uhr im RZ-Hörsaal im Gebäude Seffenter Weg 23 statt.
Am 17. Juni 2024 wird Alexander Neumann den Vortrag „Behind the Screens: Insights and Stories of Real-World Penetration Testing“ am Hasso-Plattner-Institut in Potsdam halten. Die Folien stehen unter Vorträge zum Download zur Verfügung.
Neues Advisory veröffentlicht: Aptos Wisal Payroll Accounting Uses Hardcoded Database Credentials.
Die Webseite von RedTeam Pentesting ist ab heute in neuem Design verfügbar. Wir freuen uns über Feedback.
RedTeam Pentesting hat ein neues Mitglied: Tobias Ferring verstärkt ab sofort als neuer Penetrationstester das Team.
Alexander Neumann hat gestern im Rahmen der Veranstaltung „Studierende treffen Alumni und Unternehmensexpert:innen” den Vortrag „Der Bitwarden-Biometrie-Unfall - Wenn ein Pentest nebenher einen kritischen Fehler im Passwort-Manager aufdeckt” an der FH Aachen gehalten. Die Folien stehen unter Publikationen zum Download zur Verfügung.
Vor einigen Monaten haben wir eine interessante Schwachstelle in Bitwarden entdeckt, die es unter bestimmten Bedingungen erlaubt, die Daten des Passwort-Safes auch ohne das Passwort auzulesen. Die Details beschreibt unser aktueller Blogbeitrag.
RedTeam Pentesting hat zwei neue Mitglieder: Severin Schüller und Vincent Drury verstärken ab sofort als neue Penetrationstester das Team.
RedTeam Pentesting hat ein neues Mitglied: Frederic Gorski verstärkt ab sofort als neuer Penetrationstester das Team.
Unser neuer Blogartikel gibt einen Überblick über das Ausnutzen von Schwachstellen in Ghostscript.
Neues Advisory veröffentlicht: D-Link DAP-X1860: Remote Command Injection .
Jens Liebchen hat am 2. Oktober 2023 den Vortrag „Gezielter Ausnahmezustand – Penetrationstests” im Rahmen der Fachschaftstagung Ingenieurswissenschaften des Cusanuswerk gehalten. Die Folien stehen unter Publikationen zum Download zur Verfügung.
Neues Advisory veröffentlicht: Session Token Enumeration in RWS WorldServer.
Es wurde eine neue Version von monsoon veröffentlicht. Unser neuer Blog-Post beschreibt die neuen Funktionen und Verbesserungen im Detail.
In unserem neuen Blog-Artikel erklären wir typische Fehler im Umgang mit Authentifizierungsmechanismen am Beispiel einer Schwachstelle in der Webschnittstelle von STARFACE PBX.
Neues Advisory veröffentlicht: STARFACE: Authentication with Password Hash Possible.
Drei neue Advisories für Schwachstellen in der Open-Source-Software Pydio Cells veröffentlicht: Unauthorised Role Assignments, Cross-Site Scripting via File Download, Server-Side Request Forgery.
Heute haben wir das von uns entwickelte Programm resocks veröffentlicht. Im Blog-Artikel beschreiben wir die Funktionsweise und technische Details.
Wir beschreiben in unserem neuen Blog-Post das Vorgehen bei der Integration unseres neuen Druckers, damit dieser unseren selbstauferlegten Sicherheitskriterien entspricht.
Jens Liebchen hat am 7. Februar 2023 den Vortrag „Physical Security – Wenn Türen zu Firewalls werden” am Lehrstuhl für IT-Sicherheitsinfrastrukturen an der Friedrich-Alexander-Universität Erlangen-Nürnberg gehalten. Die Folien stehen unter Publikationen zum Download bereit.
Neues Advisory veröffentlicht: Skyhigh Security Secure Web Gateway: Cross-Site Scripting in Single Sign-On Plugin.
Alexander Neumann hat gestern im Rahmen der Veranstaltung „Studierende treffen Alumni und Unternehmensexperten” den Vortrag „Mitbringsel aus dem Alltag: Star Wars in der niedersächsischen Provinz” an der FH Aachen gehalten. Die Folien stehen unter Publikationen zum Download zur Verfügung.
In der WDR Lokalzeit Aachen wurde gestern ein Beitrag über unsere Arbeit und unser neues Büro gesendet.
Neues Advisory veröffentlicht: Missing Authentication in ZKTeco ZEM/ZMM Web Interface.
In unserem neuen Blog-Artikel stellen wir das von uns entwickelte Programm pretender zum einfachen Ausnutzen von Relay-Angriffen vor.
RedTeam Pentesting hat ein neues Mitglied: Roman Karwacik verstärkt ab sofort als neuer Penetrationstester das Team.
Neues Advisory veröffentlicht: Credential Disclosure in Web Interface of Crestron Device.
Unser neuer Blog-Artikel beschreibt, wie wir eine Backdoor im Auerswald COMpact 5500R PBX gefunden haben.
Vier neue Advisories für Schwachstellen in Geräten von Auerswald veröffentlicht: Auerswald COMfortel 1400/2600/3600 IP Authentication Bypass, Auerswald COMpact Privilege Escalation, Auerswald COMpact Arbitrary File Disclosure, Auerswald COMpact Multiple Backdoors.
Am 21. Oktober 2021 wird Jens Liebchen den Vortrag „IT-Sicherheit: Unterwegs zwischen zwei Welten” um 14:30 Uhr im Technologiezentrum Aachen in Zusammenarbeit mit der Techniker Krankenkasse halten. Anmeldung unter konferenz@tza-aachen.de, es gilt die 3G-Regel!
Neues Advisory veröffentlicht: Cross-Site Scripting in myfactory.FMS.
Neues Advisory veröffentlicht: XML External Entity Expansion in MobileTogether Server.
Wir sprechen im Podcast Digital genial von proALPHA über Cybercrime und wie sich Unternehmen durch Penetrationstests besser davor schützen können.
Heute haben wir auf GitHub unsere Verschlüsselungslösung für das reMarkable 2 ePaper-Tablet veröffentlicht. Dazu gibt es auch einen entsprechenden Blog-Artikel mit Details zu Angreifermodellen und dem Entwicklungsprozess.
RedTeam Pentesting hat ein neues Mitglied: Jan Kruse verstärkt ab sofort als neuer Penetrationstester das Team.
Unser neuer Blog-Artikel befasst sich mit der leserlichen Gestaltung von Programmaufrufen am Beispiel von curl.
Am 23. Februar 2021 wird Jens Liebchen den Vortrag „(Un-)Sicherheit voraus” für den Rotary Club Aachen-Frankenburg halten.
In guter Tradition wird Jens Liebchen am 26. Januar 2021 im Rahmen der Übung “Angewandte IT-Sicherheit” des Lehrstuhls für IT-Sicherheitsinfrastrukturen an der Friedrich-Alexander-Universität Erlangen-Nürnberg den Vortrag “Physical Security - Wenn Türen zu Firewalls werden” in Form einer Videokonferenz halten.
RedTeam Pentesting hat ein neues Mitglied: Peter Ott verstärkt ab sofort als neuer Penetrationstester das Team.
In unserem dritten Blog-Artikel erklären wir die Ausnutzung einer Deserialisierungsschwachstelle in PHP am Beispiel einer Gadget-Chain im PHP-Framework “Yii”.
Unser neuer Blog-Artikel behandelt eine Einführung und gängige Anwendungsszenarien für das von uns entwickelte Programm monsoon.
Wir haben heute unseren neuen Blog veröffentlicht. Der erste Artikel beschreibt die Analyse und das Ausnutzen einer Schwachstelle in Apache Tomcat.
Neues Advisory veröffentlicht: Arbitrary File Disclosure and Server-Side Request Forgery in BigBlueButton.
Neues Advisory veröffentlicht: FRITZ!Box DNS Rebinding Protection Bypass.
Neues Advisory veröffentlicht: Denial of Service in D-Link DSR-250N.
Neues Advisory veröffentlicht: Inconsistent Behavior of Go’s CGI and FastCGI Transport May Lead to Cross-Site Scripting.
RedTeam Pentesting ist ab sofort auch auf GitHub vertreten und hat heute dort den HTTP-Enumerator monsoon veröffenlicht.
Wir haben eine Mission! RedTeam Pentesting sucht weitere Mitarbeiter zur Verstärkung unserer Teams. Mehr Informationen gibt es ab sofort auf unserer neu gestalteten Bewerberwebseite.
Neues Advisory veröffentlicht: Credential Disclosure in WatchGuard Fireware AD Helper Component.
Zwei neue Advisories veröffentlicht: IceWarp: Cross-Site Scripting in Notes for Contacts und IceWarp: Cross-Site Scripting in Notes.
RedTeam Pentesting hat ein neues Mitglied: Lucas Vater verstärkt ab sofort als neuer Penetrationstester das Team.
Zwei neue Advisories veröffentlicht: Unsafe Storage of Credentials in Carel pCOWeb HVAC und Unauthenticated Access to Modbus Interface in Carel pCOWeb HVAC.
In guter Tradition wird Jens Liebchen am 31. Oktober 2019 im Rahmen der Übung “Angewandte IT-Sicherheit” des Lehrstuhls für IT-Sicherheitsinfrastrukturen an der Friedrich-Alexander-Universität Erlangen-Nürnberg den Vortrag “Physical Security - Wenn Türen zu Firewalls werden” halten. Darauffolgend findet eine praktische Einführung in das Thema Lockpicking statt.
Am 05.07.2019 wird Jonas Lieb am III. Physikalischen Institut B der RWTH Aachen University einen Vortrag über Pentesting im Rahmen des dort veranstalteten Freitagsseminars präsentieren.
Neues Advisory veröffentlicht: Information Disclosure in REDDOXX Appliance.
Am 24. Juni 2019 wird Jonas Lieb im Rahmen des Hackerpraktikums des Bachelor-Studiengangs Informatik an der Hochschule Bonn-Rhein-Sieg in Sankt Augustin den Vortrag „Pentesting in der Praxis” halten.
RedTeam Pentesting hat ein neues Mitglied: Merlin Marek verstärkt ab sofort als neuer Penetrationstester das Team.
Neues Advisory veröffentlicht: Directory Traversal in Cisco Expressway Gateway.
Drei neue Advisories für unvollständig behobene Schwachstellen in Cisco RV320 Dual Gigabit WAN VPN Routern veröffentlicht: Unauthenticated Configuration Export, Unauthenticated Diagnostic Data Retrieval und Command Injection.
Neues Advisory veröffentlicht: Code Execution via Insecure Shell Function getopt_simple.
Drei neue Advisories für Cisco RV320 Dual Gigabit WAN VPN Router veröffentlicht: Unauthenticated Configuration Export, Unauthenticated Diagnostic Data Retrieval und Command Injection.
RedTeam Pentesting hat ein neues Mitglied: Erik Geiser verstärkt ab sofort als neuer Penetrationstester das Team.
Am 4. Dezember 2018 wird Alexander Neumann im Rahmen des IT-Sicherheitstags NRW der IHK NRW den Vortrag „Sicherer Umgang mit Daten auf SSDs” halten. Die Folien stehen unter den Publikationen zum Download bereit.
Am 30. Oktober 2018 wird Jens Liebchen den Vortrag „Physical Security - Wenn Türen zu Firewalls werden” am Lehrstuhl für IT-Sicherheitsinfrastrukturen der Friedrich-Alexander-Universität Erlangen-Nürnberg im Rahmen der Vorlesung „Angewandte IT-Sicherheit” halten. Im Anschluss findet eine praktische Einführung zu Lockpicking statt. RedTeam Pentesting freut sich, erneut die Universität mit Vorträgen und Fachwissen unterstützen zu können.
Am 25. Oktober 2018 wird Alexander Neumann im Rahmen des Hackerpraktikums des Bachelor-Studiengangs Informatik an der Hochschule Bonn-Rhein-Sieg in Sankt Augustin den Vortrag „Sicheres Löschen von Daten auf SSDs” halten.
Jens Liebchen wurde für den Artikel „In fremder Hand” von der IHK Aachen interviewt.
Im Rahmen der Veranstaltung „Mit Sicherheit! - Offener Austausch und Diskussion mit IT-Sicherheitsexperten” der IHK Aachen beantwortet Jens Liebchen am 11. Oktober 2018 ab 18 Uhr ihre Fragen zur IT-Sicherheit. Die Teilnahme ist nach vorheriger Anmeldung kostenfrei.
RedTeam Pentesting ist am Wochenende vom 25. August - 26. August 2018 erneut als Goldsponsor mit einem Stand auf der FrOSCon-Konferenz in Bonn/St. Augustin vertreten. RedTeam Pentesting sucht weiterhin neue Mitarbeiter, wir freuen uns über die Möglichkeit des persönlichen Kontakts!
Am 23. Mai 2018 wird Alexander Neumann auf dem 8. IT-Forensik Workshop der FH Aachen Vortrag „Sicheres Löschen von Daten auf SSDs” halten.
Zwei neue Advisories veröffentlicht: CyberArk Password Vault Memory Disclosure, CyberArk Password Vault Web Access Remote Code Execution.
Neues Advisory veröffentlicht: Shopware Cart Accessible by Third-Party Websites.
Neues Sicherheits-Advisory veröffentlicht: rt-sa-2018-001: Arbitrary Redirect in Tuleap.
RedTeam Pentesting hat ein neues Mitglied: Jonas Lieb verstärkt ab sofort als neuer Penetrationstester das Team.
RedTeam Pentesting hat ein neues Mitglied: Yvonne Breuer verstärkt ab sofort als neue Penetrationstesterin das Team.
Neues Sicherheits-Advisory veröffentlicht: rt-sa-2017-013: Truncation of SAML Attributes in Shibboleth 2.
Am 16. November 2017 wird Alexander Neumann auf der 41. DAFTA in Köln den Vortrag „Sicheres Löschen von Daten auf SSDs” halten.
Neues Sicherheits-Advisory veröffentlicht: rt-sa-2016-008: XML External Entity Expansion in Ladon Webservice.
Am 26. Oktober 2017 wird Jens Liebchen den Vortrag „Physical Security - Wenn Türen zu Firewalls werden” am Lehrstuhl für IT-Sicherheitsinfrastrukturen der Friedrich-Alexander-Universität Erlangen-Nürnberg im Rahmen der Vorlesung „Angewandte IT-Sicherheit” halten. Im Anschluss findet eine praktische Einführung zu Lockpicking statt. RedTeam Pentesting freut sich, erneut die Universität mit Vorträgen und Fachwissen unterstützen zu können.
RedTeam Pentesting hat ein neues Mitglied: Daniel Küppers verstärkt ab sofort als neuer Penetrationstester das Team.
Vier neue Advisories für WebClientPrint Processor 2.0 veröffentlicht: Remote Code Execution via Print Jobs, Remote Code Execution via Updates, Unauthorised Proxy Modification und No Validation of TLS Certificates.
Nächstes Wochenende vom 19. August - 20. August 2017 hat RedTeam Pentesting als Goldsponsor einen Stand auf der FrOSCon-Konferenz in Bonn/St. Augustin. Alexander Neumann wird dort zudem am Samstag um 10:00 Uhr (Raum HS1) den Vortrag „Sicheres Löschen von Daten auf SSDs” halten.
Neues Advisory veröffentlicht: Cross-Site Scripting in TYPO3 Formhandler Extension.
Neue Advisories für mehrere kritische Schwachstellen in REDDOXX Suite veröffentlicht: Cross-Site Scripting, Unauthenticated Arbitrary File Disclosure, Unauthenticated Extraction of Session-IDs, Arbitrary File Disclosure with root Privileges via RdxEngine-API, Undocumented Administrative Service Account, Unauthenticated Access to Diagnostic Functions und Remote Command Execution as root.
Neues Advisory veröffentlicht: Remote Command Execution in PDNS Manager.
Am 19. Mai 2017 stellt sich RedTeam Pentesting auf der „ITS.Connect 2017” in Bochum vor und gibt Einblicke in die Arbeit als Penetrationtester.
Die RedTeam Pentesting GmbH wurde für den AC²-Innovationspreis Region Aachen 2017 nominiert. Der Gewinner des Preises wird am 1. Juni im im Krönungssaal des Aachener Rathauses bekannt gegeben.
Till Maas berichtet im Artikel „Aus der Praxis: Wie man einen Multifunktionsdrucker absichert” auf der Webseite Heise Business Services über Erfahrungen beim Absichern von Multifunktionsdruckern.
Patrick Hof repräsentiert RedTeam Pentesting auf der G20 Multi-Stakeholder-Konferenz „Digitalisation: Policies for a Digital Future”.
NRW.INVEST stellt RedTeam Pentesting in ihrem Magazin „Movers & Shakers in NRW” als ein in seiner Branche führendes Unternehmen in einem Firmenportät vor.
RedTeam Pentesting freut sich, die FrOSCon-Konferenz in Bonn/St. Augustin dieses Jahr als Goldsponsor zu unterstützen.
Ab sofort informiert Sie RedTeam Pentesting auch auf Twitter über Neuigkeiten rund um RedTeam und aktuelle IT-Security-Themen.
Neues Advisory veröffentlicht: Padding Oracle in Apache mod_session_crypto.
Am 19. Dezember 2016 wird Patrick Hof eine Gastvorlesung im Modul Operating Systems Security mit dem Titel „Operating Systems Security And Why It (Mostly) Doesn’t Matter” an der Radboud Universiteit in Nijmegen halten.
Neues Advisory veröffentlicht: Compilation of Untrusted LESS Files May Lead to Code Execution through the JavaScript Less Compiler.
Am 07.11.2016 lief in der WDR-Sendung Servicezeit ein Bericht mit RedTeam Pentesting über eine Schwachstelle in AVM FRITZ!Boxen, die es Angreifern erlaubte auf fremde Kosten zu telefonieren.
Am 2. November 2016 wird Jens Liebchen den Vortrag „Alles wird gut? Über Menschen, Angreifer & die Zukunft” auf der Leetcon halten.
Am 2. November 2016 wird Alexander Neumann den Vortrag „Daten löschen, aber richtig - über die Besonderheiten von SSDs” auf der Leetcon halten.
Am 20. Oktober 2016 wird Jens Liebchen den Vortrag „Physical Security - Wenn Türen zu Firewalls werden” am Lehrstuhl für IT-Sicherheitsinfrastrukturen der Friedrich-Alexander-Universität Erlangen-Nürnberg im Rahmen der Vorlesung „Angewandte IT-Sicherheit” halten. Im Anschluss findet eine praktische Einführung zu Lockpicking statt. RedTeam Pentesting freut sich, erneut die Universität mit Vorträgen und Fachwissen unterstützen zu können.
Das Handelsblatt berichtet in dem Artikel „Der Hacker als Helfer” über RedTeam Pentesting.
Drei neue Advisories veröffentlicht: XML External Entity Expansion in Paessler PRTG Network Monitor, Websockify: Remote Code Execution via Buffer Overflow und Unauthenticated File Upload in Relay Ajax Directory Manager may Lead to Remote Command Execution.
Die Folien zum Vortrag „Penetration Tester – Click Monkey or Creative Hacker?”, gehalten von Sebastian Chrobak im Rahmen der Veranstaltung Security Lab 2016 der Research Group IT-Security der RWTH Aachen University, stehen unter den Publikationen bereit.
Die Folien zum Vortrag „Was Dein ist, ist Mein – Datensicherheit aus der Angreiferperspektive”, gehalten von Jens Liebchen anlässlich des Welttags des geistigen Eigentums am TZ Aachen, stehen unter den Publikationen bereit.
Heute ist der Artikel „Immer auf der Suche nach Schwachstellen” über die Arbeit von RedTeam Pentesting in der Aachener Zeitung erschienen (Ausgabe 25. April 2015, Seite 6). Dieser ist auch online abrufbar (AZ).
RedTeam Pentesting ist im Rahmen der Kampagne GERMANY AT ITS BEST des Landes NRW für die Bestleistung als „Weltweit führendes auf Penetrationstests spezialisiertes Unternehmen” ausgezeichnet worden. Die Urkunde des Wirtschaftsministeriums steht zum Download bereit.
Neues Sicherheits-Advisory veröffentlicht: Cross-site Scripting in Securimage 3.6.22
Am 17. Februar 2016 wird Jens Liebchen ab 14 Uhr im Rahmen des Live-Webcasts „Sind Ihre Drucker ausreichend gegen Angriffe geschützt?” von heise Business Services als Teil einer Expertenrunde die Rolle von Druck- und Multifunktionsgeräten für die IT-Sicherheit in Unternehmen diskutieren. Die Teilnahme am Webcast erfordert eine Vorab-Registrierung.
Am 6. Februar wird Till Maas den Vortrag „Let’s Encrypt with Best Practices” auf der DevConf.cz-Konferenz in Brünn, Tschechische Republik halten.
Neues Sicherheits-Advisory veröffentlicht: o2/Telefonica Germany: ACS Discloses VoIP/SIP Credentials
Zwei neue Sicherheits-Advisories veröffentlicht: AVM FRITZ!Box: Arbitrary Code Execution Through Manipulated Firmware Images und AVM FRITZ!Box: Remote Code Execution via Buffer Overflow
RedTeam Pentesting hat ein neues Mitglied: Philip Huppert verstärkt ab sofort als neuer Penetrationstester das Team.
Neues Sicherheits-Advisory veröffentlicht: rt-sa-2015-013: Symfony PHP Framework: Session Fixation In “Remember Me” Login Functionality
Am 21. Dezember werden Sebastian Chrobak und Jens Liebchen im Rahmen der Vorlesung IT-Sicherheit 1 der Forschungsgruppe IT-Security der RWTH Aachen University einen Vortrag über physische Sicherheit halten. Anschließend findet eine Diskussion über IT-Security in der Praxis statt.
In der heutigen Ausgabe 231 des Handelsblatts findet sich der Artikel „Wo ist die Schwachstelle?“ der Jens Liebchen, Geschäftsführer der RedTeam Pentesting GmbH, zitiert.
RedTeam Pentesting hat ein neues Mitglied: David Brown verstärkt ab sofort als neuer Penetrationstester das Team.
Neues Sicherheits-Advisory veröffentlicht: rt-sa-2015-006: Buffalo LinkStation Authentication Bypass
Die (englischsprachigen) Folien zum Vortrag „Security Threats at Conferences”, gehalten auf der Flock 2015 in Rochester, NY, USA stehen unter den Publikationen bereit.
Wir freuen uns, die Stadt Aachen im Rahmen der Kampagne „Wussten Sie schon, dass…” dabei unterstützen zu dürfen, der Technologieregion Aachen ein Gesicht zu verleihen. Unseren Beitrag finden Sie auf der Webseite der Wirtschaftsförderung der Stadt Aachen, oder auf unseren Webseiten als PDF-Dokument oder als Bilddatei.
Am 12. August wird Till Maas den Vortrag „Security Threats at Conferences” auf der Fedora Contributor Conference in Rochester, NY, USA, halten.
Neues Sicherheits-Advisory veröffentlicht: rt-sa-2015-002: SQL Injection in TYPO3 Extension Akronymmanager
Zwei neue Sicherheits-Advisories veröffentlicht: rt-sa-2015-003: Alcatel-Lucent OmniSwitch Web Interface Weak Session ID und rt-sa-2015-004: Alcatel-Lucent OmniSwitch Web Interface Cross-Site Request Forgery
Am 18. Juni wird Hanno Heinrichs den Vortrag „Your Home is my Castle” auf der Cryptoparty der Fachschaft Mathematik/Physik/Informatik der RWTH Aachen halten.
Am 8. Juli stellt sich RedTeam Pentesting auf dem bonding CyberDay 2015 in Aachen vor. Im Rahmen des Vortragsprogramms wird Jens Liebchen den Vortrag „Beruf: Hacker” halten und dabei Einblicke in die Arbeit als Penetrationstester geben.
Vom 8. - 12. Juni 2015 findet in Frankfurt die Audit Challenge statt. Auf der 10. Fachkonferenz für Revisionsmethodik ist der Donnerstag Vorträgen und Diskussionen zum Thema „Fraud Investigation & Prevention im Umfeld der Digitalisierung unserer Wirschaftsleistungen” gewidmet. RedTeam Pentesting wird den Tag mit einem Vortrag unterstützen sowie im Rahmen der Podiumsdiskussion über Präventionsmaßnahmen im Bereich von Industrie 4.0 diskutieren.
Am 18. März wird Patrick Hof den Vortrag „Achtung, Unfall voraus…?” über IT-Sicherheit im ÖPNV auf dem itcs-Seminar des Jahres 2015 „Innovationen rund um die Echtzeit” des VDV halten.
Neues Sicherheits-Advisory veröffentlicht: rt-sa-2014-016: Directory Traversal and Arbitrary File Disclosure in hybris Commerce Software Suite
Neues Sicherheits-Advisory veröffentlicht: rt-sa-2014-013: Cross-Site Scripting in IBM Endpoint Manager Relay Diagnostics Page
Am 25. Februar 2015 wird Jens Liebchen im Rahmen der 22. DFN-Konferenz „Sicherheit in vernetzten Systemen” in Hamburg aus der praktischen Erfahrung als Penetrationstester über „Erfolgsfaktoren für gute Penetrationstests” berichten.
Neues Sicherheits-Advisory veröffentlicht: rt-sa-2014-010: AVM FRITZ!Box Firmware Signature Bypass
Neues Sicherheits-Advisory veröffentlicht: rt-sa-2014-015: Cross-site Scripting in Tapatalk Plugin for WoltLab Burning Board 4.0
Die Folien zum Vortrag „Angriff zur Verteidigung – Erfolgsfaktoren für gute Penetrationstests”, gehalten auf dem IT-Sicherheitstag NRW in Hagen, stehen unter den Publikationen bereit.
Neues Sicherheits-Advisory veröffentlicht: rt-sa-2014-012: Unauthenticated Remote Code Execution in IBM Endpoint Manager Mobile Device Management Components
Diese Schwachstelle erlaubt es Angreifern die für das Mobile-Device-Management verwendeten Anwendungsserver und damit höchstwahrscheinlich auch die verwalteten Endgeräte vollständig zu kompromittieren.
Drei neue Sicherheits-Advisories veröffentlicht: rt-sa-2014-007: Remote Code Execution in TYPO3 Extension ke_dompdf, rt-sa-2014-009: Information Disclosure in TYPO3 Extension ke_questionnaire und rt-sa-2014-011: EntryPass N5200 Credentials Disclosure
Am 10. Dezember 2014 wird Patrick Hof im Rahmen der 2. SZ-Fachkonferenz: Versicherung und Internet ein Interview zum Thema „Hackerangriffe – wie die Profis vorgehen: Wo liegen die größten Sicherheitslücken?” geben.
Am 3. Dezember 2014 wird Jens Liebchen im Rahmen des IT-Sicherheitstags NRW einen Vortrag zum Thema „Angriff zur Verteidigung - Erfolgsfaktoren für gute Penetrationstests” halten.
RedTeam Pentesting hat ein neues Mitglied: Hanno Heinrichs verstärkt ab sofort als neuer Penetrationstester das Team.
Neues Sicherheits-Advisory veröffentlicht: rt-sa-2014-008: Python CGIHTTPServer File Disclosure and Potential Code Execution
Zwei neue Sicherheits-Advisories veröffentlicht: rt-sa-2013-002: Endeca Latitude Cross-Site Request Forgery und rt-sa-2013-003: Endeca Latitude Cross-Site Scripting
Neues Sicherheits-Advisory veröffentlicht: rt-sa-2014-006: Directory Traversal in DevExpress ASP.NET File Manager
Zwei Sicherheits-Advisories veröffentlicht: rt-sa-2014-004: Remote Command Execution in webEdition CMS Installer Script und rt-sa-2014-005: SQL Injection in webEdition CMS File Browser
Am 17. Juni 2014 wird Jens Liebchen den Vortrag „Multifunktionsdruckgeräte und IT-Sicherheit: Ein Erfahrungsbericht” im Rahmen der Vortragsreihe IT-Security des VDE Regio Aachen halten. Stattfinden wird der Vortrag im Hörsaal FT der RWTH Aachen (Melatener Str. 23-25, 52074 Aachen) ab 18:30 Uhr. Der Eintritt ist frei und Gäste sind ausdrücklich willkommen.
In der neuen Rubrik Testimonials sind ab sofort anonymisierte Kundenaussagen zu RedTeam Pentestings Dienstleistung zu finden. Diese werden in regelmäßigen Abständen ausgetauscht, um ein möglichst umfängliches Bild zu zeigen.
Sicherheits-Advisory veröffentlicht: rt-sa-2014-003: Metadata Information Disclosure in OrbiTeam BSCW
RedTeam Pentesting hat ein neues Mitglied: Sebastian Neumann verstärkt ab sofort als neuer Penetrationstester das Team.
Sicherheits-Advisory veröffentlicht: rt-sa-2014-002: rexx Recruitment Cross-Site Scripting in User Registration
Sicherheits-Advisory veröffentlicht: rt-sa-2014-001: McAfee ePolicy Orchestrator XML External Entity Expansion in Dashboard
Am 16. Januar wird Patrick Hof den Vortrag „IT-Sicherheit und Kryptographie in der Praxis” auf der Cryptoparty der Fachschaft Mathematik/Physik/Informatik der RWTH Aachen halten.
Auf Einladung der GDD wird Jens Liebchen im Rahmen der vom 14. bis 15. November 2013 in Köln stattfindenden 37. Datenschutzfachtagung (DAFTA) den Vortrag „Jailbreaking Your MFP for more Security - MFPs, sensible Druckdaten und IT-Sicherheit: Ein Erfahrungsbericht” halten.
Am 29. November 2013 wird Jens Liebchen den Vortrag „Jailbreaking Your MFP for more Security - MFPs, sensible Druckdaten und IT-Sicherheit: Ein Erfahrungsbericht” im Rahmen eines Sonder-Admin-Treffens der RWTH Aachen halten. Stattfinden wird der Vortrag im Hörsaal des Rechenzentrums (Seffenter Weg 23, 52074 Aachen) von 12:00 Uhr bis 14:00 Uhr. Externe Gäste sind ausdrücklich willkommen. Neben dem Vortrag wird es auch einen interaktiven Teil zur Diskussion geben.
Am 25. Oktober 2013 wird Jens Liebchen den Vortrag „Physical Security - Wenn Türen zu Firewalls werden” am Lehrstuhl für IT-Sicherheitsinfrastrukturen der Friedrich-Alexander-Universität Erlangen-Nürnberg im Rahmen der Vorlesung „Angewandte IT-Sicherheit” halten. Im Anschluss findet eine praktische Einführung zu Lockpicking statt. RedTeam Pentesting freut sich, erneut die Universität mit Vorträgen und Fachwissen unterstützen zu können.
RedTeam Pentesting freut sich, den Capture-The-Flag-Wettbewerb „rwthCTF 2013” der Research Group IT Security an der RWTH Aachen als Sponsor zu unterstützen. Das CTF startet am 09. November um 14:00 Uhr und endet am 10. November um 2:00 Uhr.
Zum 31. Juli 2013 wird Claus R. F. Overbeck aus der RedTeam Pentesting GmbH ausscheiden. Dieser Schritt wurde in den vergangenen sechs Monaten intensiv vorbereitet. Mit den bekannten Geschäftsführern Patrick Hof und Jens Liebchen wird das Team der RedTeam Pentesting GmbH weiterhin Penetrationstests in der gewohnt hohen Qualität bieten.
RedTeam Pentesting hat ein neues Mitglied: Lukas Kupczyk verstärkt ab sofort als neuer Penetrationstester das Team.
Am 25. Mai 2013 wird Jens Liebchen auf dem LinuxTag 2013 in Berlin erneut den Vortrag „Jailbreaking Your MFP for More Security” halten, wie er bereits im Februar mit großem Erfolg auf dem 20. DFN Workshop vorgestellt wurde.
Neues Advisory veröffentlicht: rt-sa-2013-001: Exim with Dovecot: Typical Misconfiguration Leads to Remote Command Execution.
Das Magazin „Wirtschaftliche Nachrichten” der IHK Aachen berichtet im Artikel „Angriff auf Abruf” über die Arbeit als Penetrationstester bei RedTeam Pentesting.
Die Folien des Vortrags „Jailbreaking Your MFP for More Security”, gehalten von Jens Liebchen auf dem 20. DFN-Workshop „Sicherheit in vernetzten Systemen”, stehen unter den Publikationen bereit.
Heute hat Stella Peters von eldoradio* Jens Liebchen zum Thema Penetrationstests und Ausbildung zum Penetrationstester interviewt. Das Interview im Ressort Wirtschaft wird am 23.01.2013 gesendet und ist dann auch per Podcast verfügbar.
RedTeam Pentesting hat ein neues Mitglied: Benjamin Grap verstärkt ab sofort als neuer Penetrationstester das Team.
Am 20. Februar 2013 wird Jens Liebchen von RedTeam Pentesting auf dem 20. DFN-Workshop „Sicherheit in vernetzten Systemen” in Hamburg einen Vortrag mit dem Thema „Jailbreaking Your MFP for More Security” halten. Der Vortrag behandelt die Problematiken bei der Beschaffung und dem Betrieb von MFPs (Multi-Function Printer) in sicherheitskritischen Umgebungen und zeigt kreative Lösungsmöglichkeiten auf.
RedTeam Pentesting freut sich, den Capture-The-Flag-Wettbewerb „rwthCTF 2012” der Research Group IT Security an der RWTH Aachen als Sponsor zu unterstützen. Das CTF startet am 30. November um 14:00 Uhr und endet am 1. Dezember um 2:00 Uhr.
Jens Liebchen wird den Vortrag „Physical Security - Wenn Türen zu Firewalls werden” am 30. Oktober 2012 am Lehrstuhl für IT-Sicherheitsinfrastrukturen der Friedrich-Alexander-Universität Erlangen-Nürnberg halten. RedTeam Pentesting freut sich, erneut die Universität mit Vorträgen und Fachwissen unterstützen zu können.
Patrick Hof wurde von der Deutschen Welle für den Online-Artikel „Hacken als lukratives Geschäftsmodell” zum Thema Distributed-Denial-of-Service (DDoS)-Angriffe gegen Banken-IT interviewt.
Stellen als Penetrationstester zu vergeben! Mehr Informationen im neuen Bereich Karriere.
Die Folien des Vortrags „Sicherheit und Industriespionage – Von technischen und menschlichen Schwächen”, gehalten von Patrick Hof auf dem ESMT Management-Update-Seminar 2012, stehen unter den Publikationen bereit.
Neues Advisory veröffentlicht: rt-sa-2012-002: php-decoda: Cross-Site Scripting in Video Tags.
Die Folien des Vortrags „Sicherheit und Industriespionage – Von technischen und menschlichen Schwächen”, gehalten an der IHK Aachen, stehen unter den Publikationen bereit.
Am 25. April 2012 wird Jens Liebchen auf dem Technologieforum IT & Telekommunikation „Datensicherheit – Wie schütze ich mein Unternehmen” an der IHK Aachen einen Vortrag mit dem Titel „Sicherheit und Industriespionage – Von technischen und menschlichen Schwächen” halten. Die Teilnahme ist kostenlos, allerdings ist eine Anmeldung bei der IHK Aachen erforderlich.
Jens Liebchen wurde im Rahmen des Themenschwerpunkts „Penetrationstest” von dem Online-Magazin „All About SECURITY” zum Thema „Welche Argumente lassen sich für die Begründung eines Pentests heranziehen?” interviewt.
Die Folien und das Paper zum Vortrag „Theoretische und praktische Risiken der Verwendung von URL-Verkürzungsdiensten” von Alexander Neumann, gehalten am 22. Februar 2012 auf dem 19. DFN-Workshop „Sicherheit in vernetzten Systemen” können unter Publikationen abgerufen werden.
Am 22. Februar 2012 wird Alexander Neumann auf dem 19. DFN-Workshop „Sicherheit in vernetzten Systemen” in Hamburg den Vortrag „Theoretische und praktische Risiken der Verwendung von URL-Verkürzungsdiensten” halten. Der Vortrag findet am zweiten Workshoptag um 9:30 Uhr statt.
Neues Advisory veröffentlicht: rt-sa-2012-001: Bugzilla: Cross-Site Scripting in Chart Generator.
Zwei neue Advisories veröffentlicht: rt-sa-2011-005: Owl Intranet Engine: Authentication Bypass und rt-sa-2011-006: Owl Intranet Engine: Information Disclosure and Unsalted Password Hashes.
Jens Liebchen wurde von DRadio Wissen im Beitrag „Bundesweiter Penetrationstest” zur LÜKEX (Länder Übergreifende Krisenmanagement-Übung) 2011 interviewt.
Claus Overbeck wurde vom der Wirtschaftswoche für den Artikel „Lautlose Attacken aus dem Netz” interviewt.
Jens Liebchen wird den Vortrag „Physical Security - Wenn Türen zu Firewalls werden” am 8. November 2011 am Lehrstuhl für IT-Sicherheitsinfrastrukturen der Friedrich-Alexander-Universität Erlangen-Nürnberg sowie am 5. Dezember 2011 an der Fachhochschule Aachen in der Veranstaltung Informationssicherheit halten. RedTeam Pentesting freut sich, erneut Universitäten mit Vorträgen und Fachwissen unterstützen zu können.
RedTeam Pentesting hat ein neues Mitglied: Matthias Lederhofer verstärkt ab sofort als neuer Penetrationstester das Team.
Im Artikel „Krieg oder Cyberprotest” des fluter Magazins der Bundeszentrale für politische Bildung wird Patrick Hof zum Thema Penetrationstests zitiert.
Ausgabe 05/2011 des ADMIN Magazine wird die englische Übersetzung des bereits im deutschsprachigen ADMIN-Magazin veröffentlichten Artikels von RedTeam Pentesting über physische Sicherheit enthalten. Das Magazin erscheint am 07. Oktober in der EU-, 11. November in der US- und 12. Dezember in der australischen Ausgabe.
Jens Liebchen wurde für die WDR Servicezeit zum Thema „Neue TAN-Verfahren - pro und contra” befragt. Die Sendung läuft heute um 18:20 Uhr.
RedTeam Pentesting nutzt eine neue Telefonnummer. Ab sofort erreichen Sie RedTeam Pentesting telefonisch unter +49 241 510081-0 oder per Fax unter +49 241 510081-99. Wir freuen uns auf Ihren Anruf!
Neumann wird am 5. August 2011 um 14:00 Uhr bei der IT Security Research Group (Seminarraum) der RWTH Aachen zum Thema „Praktisches Ausnutzen von Padding Oracles” vortragen. Der Vortrag ist kostenlos und offen für alle, allerdings werden Kenntnisse in Kryptographie vorausgesetzt. Die Vortragssprache ist Deutsch.
In der aktuellen Ausgabe des ADMIN-Magazins ist ein Artikel von RedTeam Pentesting veröffentlicht, der sich mit dem Bereich der physischen Sicherheit beschäftigt.
Patrick Hof spricht heute um 17:30 Uhr in Das Sat.1 Magazin über das Thema Risiken beim Online-Banking.
Patrick Hof wird am 1. Juli auf der Jahreskonferenz 2011 des Netzwerk Recherche in Hamburg einen Workshop mit dem Titel „Aktuelle Fälle von Datendiebstahl und wie sie grundsätzlich funktionieren - Hintergrundwissen für Journalisten” halten.
Jens Liebchen erläutert für n-tv Möglichkeiten und Risiken von neuen Online-Banking-Verfahren. Das Interview wird am Freitag, den 10. Juni 2011, im Rahmen der Sendung „Ratgeber-Hightech” ausgestrahlt.
Alexander Neumann wird am 26. Mai 2011 auf dem IEEE Symposium on Security and Privacy im Workshopteil Web 2.0 Security and Privacy 2011 (W2SP) in Oakland, Kalifornien zum Thema „Security and Privacy Implications of URL Shortening Services” vortragen.
Zwei neue Advisories veröffentlicht: Authentication Bypass in Configuration Import and Export of ZyXEL ZyWALL USG Appliances, Client Side Authorization ZyXEL ZyWALL USG Appliances Web Interface.
RedTeam Pentesting demonstriert für die MDR Umschau wie leicht Dritte unbemerkt in Hotelzimmer einbrechen können.
Claus Overbeck von RedTeam Pentesting sprach über Penetrationstests im Interview „Wir brechen tagtäglich ein” mit der WirtschaftsWoche.
RedTeam Pentesting hat ein neues Mitglied: Angel Tchorbadjiiski verstärkt ab sofort als neuer Penetrationstester das Team.
Zwei neue Advisories veröffentlicht: nostromo nhttpd directory traversal leading to arbitrary command execution, SugarCRM list privilege restriction bypass.
Jens Liebchen von RedTeam Pentesting wurde für den Artikel „Das Handy als Autoschlüssel oder Kreditkarte” vom WDR interviewt und spricht über Near Field Communication.
Jens Liebchen von RedTeam Pentesting wurde für den Artikel „Banken schaffen TAN-Listen ab” vom WDR interviewt und spricht über neue und alte Gefahren beim Online-Banking.
Jens Liebchen hielt den Vortrag „Physical Security - Wenn Türen zu Firewalls werden” beim 18. DFN Workshop. Die Vortragsfolien finden sich in den Publikationen.
Ein Video des Vortrags von Claus Overbeck über „Ten Commandments of IT-Security for WEB 2.0 Startups” ist ab sofort im HackFwd Blog und auf Vimeo verfügbar.
Am 16.02.2011 wird RedTeam Pentesting auf dem 18. DFN-Workshop „Sicherheit in vernetzten Systemen” in Hamburg den Vortrag „Physical Security - Wenn Türen zu Firewalls werden” halten. Der Vortrag findet am zweiten Workshoptag um 10:00 Uhr statt.
Claus Overbeck hielt einen Vortrag über „Ten Commandments of IT-Security for WEB 2.0 Startups” beim HackFwd Build 0.4. Die Vortragsfolien finden sich in den Publikationen.
Jens Liebchen von RedTeam Pentesting wurde für den Beitrag „Gefahr durch Industriespionage” des WDR-Magazins WESTPOL interviewt. Der Beitrag wird in der Sendung am 14. November 2010 um 19:30 ausgestrahlt.
Am 25. September 2010 wird RedTeam Pentesting auf der IT-Sicherheits-Konferenz BruCON in Brüssel den Lightning Talk „Forgotten JBoss AS exploitation techniques” halten.
RedTeam Pentesting wird am 31. August 2010 auf der Veranstaltung Praktische IT-Sicherheit an der Hochschule Bonn-Rhein-Sieg den Vortrag „Sicherheit und Industriespionage: Ein Realitätsabgleich” halten.
Die Folien plus Linksammlung zum Workshop „Un(der)cover - Von der Online-Recherche hin zur gezielten Generierung neuer Informationsflüsse”, gehalten auf der Jahreskonferenz 2010 des Netzwerk Recherche in Hamburg, sind ab sofort unter Publikationen zu finden.
RedTeam Pentesting wird am 9. Juli auf der Jahreskonferenz 2010 des Netzwerk Recherche in Hamburg einen Workshop mit dem Titel „Un(der)cover - Von der Online-Recherche hin zur gezielten Generierung neuer Informationsflüsse” halten.
RedTeam Pentesting wird am 25. Juni 2010 auf der Informatica 2010 in Aachen vertreten sein. Nähere Informationen gibt es im Programmheft des Veranstalters Regina e.V.
Ab sofort ist eine neue Informationsseite zu JBoss-Sicherheit verfügbar. Diese enthält zudem das neue Whitepaper „JBoss AS - Deploying WARs with the DeploymentFileRepository MBean” (Englisch) sowie Skripte zum Herunterladen.
Video des Vortrags „Bridging the Gap between the Enterprise and You - or - Who’s the JBoss now?”, gehalten an der Ruhr-Universität Bochum ist online verfügbar.
Die RedTeam Pentesting GmbH wird am 21. April 2010 im Bachelor-Vertiefungspraktikum zur Hackertechnik des Lehrstuhls für Netz- und Datensicherheit der Ruhr-Universität Bochum den Vortrag „Bridging the Gap between the Enterprise and You - or - Who’s the JBoss now” halten.
Die Folien vom Vortrag „Peeking into Pandora’s Bochs - Instrumenting a Full System Emulator to Analyse Malicious Software”, gehalten auf der Hackito Ergo Sum 2010IT-Sicherheitskonferenz, sind ab sofort online.
Die RedTeam Pentesting GmbH wird mit dem Vortrag „Peeking into Pandora’s Bochs - instrumenting a full system emulator to analyse malicious software” auf der Hackito Ergo Sum IT-Sicherheits-Konferenz in Paris (08.-10. April 2010) vertreten sein.
Am 09.02.2010 wird RedTeam Pentesting auf dem 17. DFN-Workshop „Sicherheit in vernetzten Systemen” in Hamburg den Vortrag „Emulationsbasiertes Entpacken von laufzeitgepackten Schadprogrammen und darüber hinaus” halten. Der Vortrag findet am ersten Workshoptag um 16:15 Uhr statt.
Drei neue Advisories veröffentlicht: Schwachstellen im Geo++(R) GNCASTER NTRIP Caster.
Proof of Concept-Code für die TLS Renegotiation-Schwachstelle veröffentlicht.
Das Whitepaper zum Vortrag „Bridging the Gap between the Enterprise and You - or - Who’s the JBoss now” ist in den Publikationen ab sofort auch auf Englisch verfügbar.
Die Veröffentlichung „Man-in-the-Middle-Angriffe auf das chipTAN comfort-Verfahren im Online-Banking” ist ab sofort auch auf Englisch verfügbar.
Pressemitteilung „Online-Banking: Erfolgreicher Angriff gegen chipTAN comfort-Verfahren” und Veröffentlichung „Man-in-the-Middle-Angriffe auf das chipTAN comfort-Verfahren im Online-Banking” verfügbar.
RedTeam Pentesting hat für das SAT1-Magazin Planetopia die Online-Banking-Verfahren iTAN und chipTAN comfort untersucht und Angriffe gegen diese entwickelt. Die Ergebnisse sind in der Sendung am 22. November 2009 um 22:45 Uhr zu sehen. Eine vollständige Beschreibung aller Angriffe wird am Montag, den 23. November 2009 unter Publikationen veröffentlicht.
[Update] Das Video „Vorsicht beim Online-Banking – Wie unsicher ist die neue chipTAN?” ist nun auf der Planetopia-Webseite verfügbar.
[Update] Das Video ist nicht mehr auf der Webseite verfügbar.
Der Sender RTL Télé Lëtzebuerg hat einen kurzen Bericht über die hack.lu 2009 veröffentlicht. Dieser enthält auch einen Beitrag über die RedTeam Pentesting GmbH.
Der Artikel „Ubiquitous Security – ganz gewöhnliche Angriffsvektoren”, erschienen bei SearchSecurity.de ist im Bereich „Presse” verlinkt. Der Artikel ist unter Mitwirkung von Jens Liebchen der RedTeam Pentesting GmbH entstanden.
Die Folien vom Vortrag „Peeking into Pandora’s Bochs - Instrumenting a Full System Emulator to Analyse Malicious Software”, gehalten auf der hack.lu 2009, sind ab sofort online.
Während der hack.lu IT-Sicherheitskonferenz wurde RedTeam Pentesting von RTL Télé Lëtzebuerg kurz interviewt. Das Interview wird heute Abend um 19:30 in den Abendnachrichten „De Journal” gezeigt. Diese Sendung kann im RTL Livestream angesehen werden.
Die RedTeam Pentesting GmbH wird mit dem Vortrag „Peeking into Pandora’s Bochs - instrumenting a full system emulator to analyse malicious software” auf der hack.lu IT-Sicherheits-Konferenz in Luxemburg (28.-30. Oktober) vertreten sein.
Neues Advisory: Ausführen von beliebigem Code als authentifizierter Benutzer im Papoo CMS.
RedTeam Pentesting wird auf der FrOSCon am 22. August 2009 den Vortrag „Bridging the Gap between the Enterprise and You - or - Who’s the JBoss now” halten. Die FrOSCon ist eine zweitägige Konferenz zum Thema Freie Software und Open Source.
Das Whitepaper zum Vortrag „Bridging the Gap between the Enterprise and You - or - Who’s the JBoss now” ist ab sofort in den Publikationen verfügbar. Es enthält eine detaillierte Beschreibung der im Vortrag vorgestellten Angriffe.
RedTeam Pentesting hält am 17. Juni 2009 den Vortrag „Sicherheit und Industriespionage: Ein Realitätsabgleich” bei der IHK Aachen. Die Veranstaltung findet zusammen mit dem Verfassungsschutz NRW und der Landesinitiative secure-it.nrw statt. Thematisiert werden im Vortrag Beispiele aus Penetrationstests und reale Fälle von Industriespionage, welche überraschende Risikofaktoren aufzeigen.
Die Webseite von RedTeam Pentesting ist ab heute in neuem Design verfügbar. Im Zuge dieser Aktualisierung werden im Laufe der Zeit auch die Inhalte erweitert und auf den neuesten Stand gebracht.
Vier Advisories zum IceWarp eMail Server veröffentlicht.
Am 19. Mai 2009 hält RedTeam Pentesting den Vortrag „Bridging the Gap between the Enterprise and You - or - Who’s the JBoss now” am Rechen- und Kommunikationszentrum der RWTH Aachen. Aufgrund der zur Verfügung gestellten Zeit können alle Angriffe live demonstriert werden. Die Teilnahme ist kostenlos für alle Interessierten, es ist lediglich eine Registrierung notwendig.
RedTeam Pentesting ist am 08. Mai 2009 bei der 25-Jahr-Feier des Technologiezentrums Aachen mit einem Stand vertreten. RedTeam Pentesting wird dort unter anderem zeigen, wie DECT-Telefone abgehört werden können. Besucher können hierfür gerne eigene Telefone mitbringen, die dann vor Ort untersucht werden.
RedTeam Pentesting hat ein neues Mitglied: Alexander Neumann verstärkt ab sofort als neuer Penetrationstester das Team.
Euregio aktuell erwähnt RedTeam Pentesting im Artikel „Europäische Tagung in Aachen”, welche im Rahmen des EU-Projekts FIN-URB-ACT stattfand.
Die Folien des Vortrags „Bridging the Gap between the Enterprise and You - or - Who’s the JBoss now”, gehalten auf dem 16. DFN-CERT Workshop in Hamburg, sind ab sofort online.
Die Folien des Vortrags „Überraschende Angriffsvektoren: Weit verbreitet, oft übersehen”, gehalten am Sicherheitstag des Open Source Forums auf der CeBIT sind ab sofort online.
Die Folien des Vortrags „Practical Security and Crypto: Why Mallory Sometimes Doesn’t Care” des EiPSI-Seminars der TU Eindhoven sind ab sofort online.
Am 04. März 2009 hält RedTeam Pentesting im Rahmen des EiPSI-Seminars der Technischen Universität Eindhoven den Vortrag „Practical Security and Crypto: Why Mallory Sometimes Doesn’t Care”.
Am 06. März 2009 hält RedTeam Pentesting auf der CeBIT den Vortrag „Überraschende Angriffsvektoren: Weit verbreitet, oft übersehen” im Rahmen des Sicherheitstages des Open Source Forums. Das Linux-Magazin wird diesen Vortrag live übertragen.
Vom 17.-18. Februar 2009 nimmt RedTeam Pentesting am IT Security Gipfel 16 in Berlin teil.
Die Folien des Vortrags „IT-Security in Theorie und Praxis” bei der IHK Arnsberg sind ab sofort online.
RedTeam Pentesting wird am 22.01.2009 bei der IHK Arnsberg den Vortrag „IT-Security in Theorie und Praxis” halten.
Am 17.03.2009 wird RedTeam Pentesting auf dem 16. DFN-Workshop „Sicherheit in vernetzten Systemen” in Hamburg den Vortrag „Bridging the Gap between the Enterprise and You” über Schwachstellen in JBoss AS-Konfigurationen halten. Der Vortrag findet am ersten Workshoptag, nach der Keynote, statt.
Die Gründerregion Aachen hat für ihre Gründerzeitung in der Ausgabe 3/2008 ein Interview mit RedTeam Pentesting zum Thema „Risiken von Web 2.0” geführt.
RedTeam Pentesting ist in Berlin auf dem IT Security Gipfel 15 vertreten.
RedTeam Pentesting wird am 23.10.08 auf der hack.lu 2008 einen Vortrag mit dem Titel „Bridging the Gap between the Enterprise and You” halten. Der Vortrag geht auf typische Schwachstellen von JBoss Installationen und deren Ausnutzung ein.
RedTeam Pentesting konnte sich deutlich vergrößern und innerhalb des Technologiezentrums Aachen neue Geschäftsräume beziehen. Die Telefon- und Faxnummern bleiben bestehen.
RedTeam Pentesting wird am 24.09.2008 auf der Veranstaltung „Brennpunkt IT-Sicherheit: Risiken - Strategien - Konzepte“ im Technologiezentrum am Europaplatz in Aachen, einen Vortrag mit dem Titel „IT-Security in Theorie und Praxis - Über ‘harmlose’ Geräte und andere Denkfehler” halten.
Auf stern.de ist ein Artikel erschienen, der sich mit den Sicherheitsproblemen in Multifunktionsgeräten befasst, die RedTeam Pentesting in Zusammenarbeit mit dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) demonstriert hat.
In Zusammenarbeit mit dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat RedTeam Pentesting im Auftrag von ZDF Frontal21 Schwachstellen in MFPs (Multi Function Peripherals) aufgezeigt. Die Sendung wird am 03.06.08 um 21:00 Uhr ausgestrahlt.
Die Folien zum Vortrag „Penetration Testing - Praxis and Beyond” im Arbeitskreis Sicherheit der deutschsprachigen Bull User Society sind ab sofort online.
Die Folien vom Vortrag „Iterative Kompromittierungsgraphverfeinerung als methodische Grundlage für Netzwerkpenetrationstests” auf der Sicherheit 2008 sind ab sofort online.
Die Folien vom Vortrag „Ubiquitous IT Security - Warum die Firewall nicht schützen konnte” auf der Sicherheit 2008 sind ab sofort online.
Am 26.03.2008 läuft in der WDR-Sendung Servicezeit Familie ein Beitrag mit RedTeam Pentesting über Gefahren beim Online-Banking.
Wir werden auf der Sicherheit 2008 (2.-4. April 2008) einen Vortrag halten, der sich mit Aufwandsabschätzungen bei Penetrationstests, gestützt auf ein graphentheoretisches Modell, beschäftigt. Als Sponsor der Veranstaltung werden wir zudem mit einem Stand dort vertreten sein.
Zwei Advisories zu MapBender veröffentlicht.
Die Folien zum Vortrag “Effiziente Beobachtung von Botnetzen” auf dem 15. DFN Workshop “Sicherheit in vernetzten Systemen” sind ab sofort online.
Im Focus Magazin 04/2008 erscheint eine Titelstory zum Thema “Online Banking? Aber sicher!”. RedTeam Pentesting hat ein Interview hierzu gegeben.
Claus Overbeck wird auf dem 15. DFN Workshop “Sicherheit in vernetzten Systemen” einen Vortrag über effiziente Beobachtung von Botnetzen halten.
Die Folien des Vortrags “Botspy - Efficient Observation of Botnets” auf der hack.lu IT-Sicherheits-Konferenz sind ab sofort online.
Die Folien zum Workshop “Effektive Onlinerecherche im Internet” sind ab sofort online.
RedTeam Pentesting hält am 29.09.07 einen Workshop zum Thema “Effektive Onlinerecherche im Internet” auf dem “Zukunftskongress Ethik 2.0 - Schöne neue Online-Welt?” des Journalistenverbandes Baden-Württemberg und des DJV-Bundesfachausschusses Online.
Remote command execution in Alcatel-Lucent OmniPCX
All About Security hat ein Interview mit RedTeam Pentesting geführt.
Vier Advisories zu ActiveWeb Contentserver CMS veröffentlicht.
Zwei neue Advisories:
rt-sa-2007-002: Fujitsu-Siemens ServerView Remote Command Execution
rt-sa-2007-003: Fujitsu-Siemens PRIMERGY BX300 Switch Blade Information Disclosure
Die Folien zum Vortrag bei der IHK stehen unter Publikationen zum Herunterladen bereit.
RedTeam Pentesting wird am 21.03.07 im Rahmen des Technologieforums Telekommunikation der IHK Aachen die Veranstaltung IT-(Un-)Sicherheit - Augen zu und durch? Oder Penetrationtests durchführen lassen mit einem Vortrag unterstützen.
Die Folien zum Vortrag „IT-Security aus dem Nähkästchen - oder - »Das kann mir nicht passieren…«” können unter Publikationen heruntergeladen werden.
Am 7. und 8. Februar 2007 wird in Hamburg der “14. Workshop “Sicherheit in vernetzten Systemen” stattfinden. RedTeam Pentesting wird dort einen Vortrag mit dem Titel „IT-Security aus dem Nähkästchen - oder - »Das kann mir nicht passieren…«” halten.
Neuer Artikel in “Der EDV-Leiter” veröffentlicht. Der Artikel ist unter Publikationen als PDF verfügbar.
Am 08.12.06 wird RedTeam Pentesting einen Vortrag über Pentesting halten. Dieser findet im Rahmen der Veranstaltung “IT-Sicherheit als Garantie zum Erfolg” bei der AGIT statt, veranstaltet von ACC-EC.
Neues Advisory: Authentication bypass in BytesFall Explorer
RedTeam Pentesting hat auf der Hack.lu 2006 einen Vortrag über die Cryptochallenge der Hack.lu 2005 gehalten. Die Folien können unter Publikationen heruntergeladen werden.
RedTeam unterstützt den NRW-Forschungstag IT-Sicherheit. Neben dem vielfältigen Vortragsprogramm gibt es auch einen speziellen Bereich mit ausgewählten Ausstellern. Die Veranstaltung zielt insbesondere auf eine stärkere Zusammenarbeit zwischen Wissenschaft und Wirtschaft ab und findet am Mittwoch, den 25. Oktober 2006, in Aachen statt. Der Eintritt ist frei.
Eins Live hat unter dem Titel „Hacken lernen in Aachen” ein Radio-Interview mit RedTeam zu den Themen IT-Security in Forschung und Lehre sowie der Praxis unserer täglichen Arbeit gemacht.
Unter Publikationen sind jetzt die Folien zum Vortrag beim OpenChaos verfügbar.
Unter Presse ist der neue Artikel „Studieren in der Grauzone” verlinkt. Die Zeit berichtet über die weltbesten Hacker aus Aachen.
Der Chaos Computer Club Köln e.V. (C4) hat RedTeam Pentesting zu einem Vortrag im Rahmen der OpenChaos Reihe eingeladen. Der Vortrag zu dem Thema „Hacking for Security - Penetrationtests” findet am Donnerstag, den 31. August, um 20:00 Uhr in den Clubräumen des C4 statt und ist für alle offen. Die Vortragssprache ist deutsch.
Fehlerhafte Regular Expression in planetGallery entdeckt.
rt-sa-2006-006: Remote command injection
Zwei neue Advisories zu phpBannerExchange veröffentlicht: Besonders interessant ist die Umgehung der eregi()-Eingabe-Überprüfung mit einem Nullbyte in rt-sa-2006-005 aufgrund eines Designfehlers von PHP.
rt-sa-2006-004: Authentication bypass in phpBannerExchange
rt-sa-2006-005: Unauthorized password recovery in phpBannerExchange
Podcast Clients: Zwei neue Advisories veröffentlicht: Prodder Remote Arbitrary Command Execution & Perlpodder Remote Arbitrary Command Execution
Die PenTest Seite wurde komplett überarbeitet
Neues Advisory veröffentlicht: PAJAX Remote Code Injection and File Inclusion Vulnerability
Am 06. März 2006 wird es in Zusammenarbeit mit dem Rechenzentrum der RWTH Aachen aufgrund der großen Nachfrage eine Wiederholung des Vortrags über Pentests geben. Die Anmeldung zu der Veranstaltung mit dem Titel „Hacking for your Security - Penetrationtesting - reloaded” ist ab sofort freigeschaltet.