Security Research

Forschung im IT-Sicherheitsumfeld gehört ebenso zu unserer Arbeit wie der Wissensaustausch innerhalb der Security Community. Denn mehr Sicherheit kann nur erreicht werden, wenn viele sie zu ihrer Aufgabe machen. Wir tragen Verantwortung. Das Wissen, das wir in unserer praktischen Arbeit und unserer Forschung gewinnen, teilen wir mit der Security Community in offenen Veranstaltungen der CST Academy, Schulungen und Publikationen. Wir investieren in qualifizierte Nachwuchskräfte. Daher pflegen wir zahlreiche Kooperationen mit Universitäten und vermitteln jungen Menschen IT Security praxisnah in Seminaren und Vorlesungen. Zu unseren Kooperationspartnern gehören unter anderem die Goethe-Universität Frankfurt, die Technische Universität Darmstadt, die Hochschule Darmstadt, die Hochschule Mainz sowie die Technische Universität München. Immer im Namen unserer Mission „more security“.

Unsere Verantwortung

Responsible Disclosure

Der verantwortungsvolle Umgang mit den Erkenntnissen unserer Arbeit hat für uns oberste Priorität. Wir haben uns intensiv mit der Frage beschäftigt, was dies für unser Verhalten bedeutet. Schwachstellen in Standardprodukten melden wir in einem strukturierten Prozess zur verantwortungsvollen Offenlegung (Responsible Disclosure).

Erkenntnisse aus unserer Forschung

usd HeroLab Security Advisories

Wir untersuchen die sich ständig im Wandel befindlichen Angriffsszenarien und veröffentlichen in diesem Zusammenhang eine Reihe von Security Advisories zu aktuellen Schwachstellen und Sicherheitsproblemen – stets im Einklang mit den Leitsätzen unserer Responsible Disclosure Policy.

Engagement in der Lehre

Unsere erfahrenen Security-Analyst*innen führen das Praxismodul „Hacker Contest“ an der Technischen Universität Darmstadt und an der Hochschule Darmstadt durch. Während der Lehrveranstaltung trainieren Studierende im Masterstudiengang IT Security praxisnah. Technologische Basis dafür ist unser PentestLab.

Die usd pflegt zudem Kooperationen mit der Goethe-Universität Frankfurt, der Hochschule Mainz sowie der Technischen Universität München.

Events für die Community

Hackertage, Hacking Night, Webinare oder IT-Security-Seminare. Unsere Know-how und Best Practices teilen wir mit anderen. Besuchen Sie unser Angebot auf den Seiten der CST Academy. Gemeinsam für mehr Sicherheit.

Referenzen & Fachartikel

 

 

Success Stories

CASHPOINT Solutions GmbH stellt ihre IT-Sicherheit auf den Prüfstand

Informationssicherheit hat für die CASHPOINT Solutions GmbH große Bedeutung. Mithilfe eines Pentests überprüften sie das Sicherheitsniveau ihrer IT-Systeme.

Mehr Sicherheit von Patientendaten: Pentest und Cloud-Audit bei Medavis

Der Schutz von Patientendaten hat für medavis höchste Priorität. Daher ließen sie zusätzlich zum Pentest, auch das IT-Sicherheitsniveau der gesamten Cloud-Infrastruktur überprüfen.

Operations1 lässt Webanwendung von usd HeroLab pentesten

Operations1 bietet eine Softwarelösung für mitarbeitergeführte Prozesse. Um die Sicherheit für Kunden und Anwender sicherzustellen, teste und bestätigte das usd HeroLab den guten Sicherheitszustand der Software. 

Interviews

Projekt Pentests: Was Sie bei der Beauftragung beachten sollten

Welche Informationen werden für die Beauftragung von Pentests benötigt? Wir haben bei Daniel Heyne nachgefragt.

Projekt Pentests: Die Kunst, effizient technische Sicherheitsanalysen für hunderte von Systemen und Applikationen zu organisieren

Ein Experteninterview über die Kunst, effizient technische Sicherheitsanalysen für Hunderte von Systemen und Applikationen zu organisieren.

„Es ist mir wichtig, der Community etwas zurückzugeben“

Ein Pentester über neue Technologien, Pentest-Tools, Wissensaustausch mit der Community und wie dies zur Mission „more security“ beiträgt.

„Made by usd HeroLab“

Tools „made by usd HeroLab“. Wir haben nachgefragt, was hier in den letzten Jahren entstanden ist und wie das zur Qualitäts- und Effizienzsteigerung des usd HeroLabs beiträgt.

Top 5 Qualitätskriterien eines approved scanning vendors

Die Top 5 Qualitätskriterien, die Sie bei der Auswahl Ihres PCI-Scanning-Partners berücksichtigen sollten.

Bug-Bounty-Programme

Bug-Bounty-Programme – ein Baustein für mehr Sicherheit, der das Sicherheitsbewusstsein und die Expertise einer ganzen Gemeinschaft nutzt.

Pentest – Was Sie wissen sollten

Pentest: Mit diesen 4 Fragen steigen Sie in die Planung ein

Die Planung von Penetrationstest kann mitunter sehr komplex werden. Wir geben Ihnen 4 Planungstipps, die sich bei uns in der Praxis bewährt haben.

usd Orangebox vereinfacht Remote-Pentests

Was tun, wenn ein vor-Ort-Pentest nicht möglich ist, die zu testende IT-Umgebung aber in einem internen Netzwerk liegt? Die usd OrangeBox ermöglicht Remote-Pentests auf höchstem Sicherheitsniveau.

Pentest-Scope: Welche Kriterien bestimmen den Prüfumfang?

Welche Vorbereitungsschritte garantieren einen optimal auf Ihr Unternehmen abgestimmten Pentest? Starten Sie gut vorbereitet in Ihr Pentest-Projekt.

Analyseansätze zur Pentest-Durchführung

Lesen Sie hier, welche Analysemethoden zur Pentest-Durchführung existieren,wie sie sich unterscheiden und für welche Motivationen und Möglichkeiten des Angreifers sie stehen.

Top 7 Qualitätsmerkmale Ihres Pentest-Partners

Pentests zählen zu den effektivsten Security-Analyse-Methoden am Markt. Lesen Sie hier, auf welche Qualitätskriterien Sie bei der Auswahl Ihres Pentest-Partners achten sollten.

Fachartikel

Wie sicher ist Ihre Homeoffice-Umgebung?

Lesen Sie hier, wieso in der aktuellen Situation ein Pentest Ihrer Homeoffice-Umgebung ratsam ist.

Unbekannte Schwachstellen – Die Verantwortung des Finders

Die usd AG nimmt den verantwortungsbewussten Umgang mit gefundenen Schwachstellen ernst. Lesen Sie hier mehr über die verantwortungsvolle Veröffentlichung.

 

Code Review

Was ist, wenn sich das Einfallstor für Hacker im Quellcode verbirgt? Beim Code Review, der Königsdisziplin unter den Sicherheitsanalysen, wird der Quellcode einer Anwendung unter die Lupe genommen.

 

Open-Source-Tool „Bring2lite“

Open-Source-Tool zur forensischen Datenanalyse auf DFRWS USA 2019, einer der führenden Konferenzen im Bereich digitaler Forensik.

 

Cyber Security Transformation Chef (Cstc)

usd Herolab proudly presents the CSTC, which is a Burp Extension for various input transformations. It implements a generic way to replace the need for numerous specialized extensions.

 

Usd Herolab Auf Def Con 27

usd HeroLab stellt mit dem CSTC ein selbstentwickeltes Plugin für Burp Suite auf der DEF CON 27, einer der größten Sicherheitskonferenzen weltweit, vor.

 

IOT-Pentesting

Wissensaustausch rund um das Testen von IoT- bzw. eingebetteten Geräten mit interessierten Kolleginnen und Kollegen während der usd Hero Night.

 

How a vulnerable picture upload can be exploited using manipulated picture files

This article describes an attack which circumvents weak file name restrictions and injects PHP code through a resizing and metadata stripping process.