Cybersecurity

Vorfälle melden und Hilfe holen

• Bundesamt für Polizei (fedpol): Online-Meldeformular für Opfer eines Angriffs oder Missbrauchs
• Stadtpolizei Zürich: Informationen zur Beweismittelsicherung
• Nationales Zentrum für Cybersicherheit (NCSC)
  • Cyberattacke – was tun? Checkliste für CISOs
  • MELANI – Melde- und Analysestelle Informationssicherung
  • Webformular für Meldung von Sicherheitsvorfällen
  • Phishing-Versuche melden.
• Verletzung der Privatsphäre (Verletzung des DSG) beim EDÖB melden

Security Education & Tutorials

• Lehrmittel „Geheimnisse sind erlaubt“ (Gemeinschaftsproduktion des Datenschutzbeauftragten des Kantons Zürich und der Pädagogischen Hochschule Zürich), Details zum Projekt
• Geschichten aus dem Internet (Gemeinschaftsprojekt des Bundesamtes für Kommunkation mit verschiedenen Organisationen)
• iBarry.ch –  Infos und Anleitungen für die Bevölkerung von der Swiss Internet Security Alliance (SISA)
• BE AWARE (by ensec Information Security)
• eBanking – aber sicher! (unabhängige Plattform der Hochschule Luzern für Informationssicherheit im E-Banking)
• cybercheck.li (Cybersecurity-Kampagne von digital-liechtenstein.li)
• Global Cyber Alliance (GCA) – concrete solutions that reduce and eradicate cyber risk freely available for any organization or individual (Cybersecurity Toolkit für KMU)
• BSI für Bürger – Animierte Erklärvideos zu Cyber-Sicherheitsthemen
• Workfromhome – free e-learning courses for working from home by Lucy
• Informationen für KMU (Landesbeauftragten für den Datenschutz Sachsen-Anhalt)

Security News & Knowledge

• heise Security
• Kuketz IT-Security Blog (by Mike Kuketz)
• mobilsicher.de – Infoportal für mehr Sicherheit auf Smartphone und Tablet
• The Hacker News
• SecuPedia – Plattform für Sicherheits-Informationen (aktuelle Sicherheits-Meldungen)
• abuse.ch – The Swiss Security Blog
• CERT-Bund des BSI – Warn- & Informationsdienste: Übersicht Meldungen – Kurzinfos
• Europäische Agentur für Netz- und Informationssicherheit (ENISA) – Topics
• GovCERT.ch Blog
• Router Security (by Michael Horowitz)
• SCIP Monthly Security Summary
• SCIP Blog
• SWITCH Security Blog
• Security4Startups Control Checklist
• Das kleine IT-Security-Glossar
• Malware ABC – Das „who is who“ der Malware
• Privacy-Handbuch – kollaboratives Freizeitprojekt von Privacyaktivisten
• Surveillance Self-Defense – Tipps, Tools und Anleitungen für sicherere online Kommunikation der gemeinnützigen Electronic Frontier Foundation (EFF)
• CISA Tips – Sammlung von Tipps, Tricks und Informationen zu IT-Sicherheitsfragen für nicht-technische Computerbenutzer von der Cybersecurity and Infrastructure Security Agency (CISA), ein Teil des Department of Homeland Security (USA)

Standards

• IT-Security NAVIGATOR – Orientierung durch Normen und Gesetze
• NIST Cyber Security Framework
  • NIST CSF Implementation Planning Tool (tenable)
  • NIST CSF Excel Workbook (Watkins Consulting)
• Bundesamt für Sicherheit in der Informationstechnik (BSI)
  • IT-Grundschutz
  • BSI-Standards
  • Technische Richtlinien des BSI (BSI-TR)
• ISO27k Information Security Standards
• Center for Internet Security (CIS) – CIS Controls (foundational and advanced cybersecurity actions to eliminate the most common attacks)
• Open Web Application Security Project (OWASP)
• ETSI Standards

Legal & Compliance

• Informationen der Europäischen Kommission zur General Data Protection Regulation (GDPR) / Datenschutz-Grundverordnung (DSGVO)
• EU-DSGVO/GDPR: Was Sie jetzt wissen müssen (Netzwoche)
• Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)

Repositories

• CVE – Common Vulnerabilities and Exposures (by The MITRE Corporation)
• CVE Details – The ultimate security vulnerability database
• SecurityFocus (Vulnerability Database & Mailing Lists)
• Computer Security Resource Center – National Vulnerability Database (by NIST, National Institute of Standards and Technology, U.S. Department of Commerce)
• Rapid7 Vulnerability Database
• The Exploit Database – ultimate archive of Exploits, Shellcode, and Security Papers
• Security-Database
• VulDB – the crowd-based vulnerability database
• Malware Analysis Reports (latest behavior analysis reports) and Analysis Reports of Evasive Malware (latest analysis reports of evasive malware) – generated by Joe Sandbox of Joe Security
• MITRE ATT&CK Framework (Adversarial Tactics, Techniques, and Common Knowledge)
• Forrester’s Global Data Protection and Privacy Heatmap
• ATcommands – Comprehensive Vulnerability Analysis of AT Commands Within the Android Ecosystem
• Evasion Encyclopedia (by Check Point Research) – Nachschlagewerk zu Ausweichtechniken bekannter Malware-Familien

Threat Intelligence

• Open Source Intelligence (OSINT) Framework
• OpenPhish (Phishing Intelligence) – Free Phishing Intelligence Feed
• Ransomware Tracker (by abuse.ch) – Blocklist
• Feodo Tracker of botnet C&C servers (by abuse.ch) – Blocklist
• URLhaus for filtering malware domains (by abuse.ch) – database dump (CSV) – browse database
• SURBL (URI reputation data) – SURBL Lists
• CINS Score (IP reputation database) – CI Army list
• GovCERT.ch Blocklist (file types to be blocked on e-mail and web gateway)
• CYMON.io (Open Threat Intelligence by eSentire)
• All Cybercrime IP Feeds (by FireHOL)
• FilterLists (comprehensive directory of subscription lists to block advertisements, malware, trackers, and other general annoyances)
• AdguardFilters – AdServers
• AdguardFilters – Mobile analytics and spyware
• „session replay“ services (zipped CSV file containing the full list)
• PhoneBlock (Der Spam-Filter fürs Telefon
• Industrial Security Alert Feed (CERT@VDE)
• Falcon Sandbox Threat Map (real-time)
• ShadowServer Dashboard

System Hardening & Guides

• Windows 10 Client Hardening (by SCIP)
• CIS Benchmarks / Hardening Guides – Windows Server Hardening (by CIS)
• BSI-Empfehlungen für sichere Microsoft Office Konfiguration
• Privilegierte Windows Accounts absichern (by SCIP)
• Cheat Sheets for securely configuring systems
• Gesellschaft für Datenschutz und Datensicherheit – Arbeits- und Praxishilfen (DSGVO, Datenschutz-Prüfung von Rechenzentren, …)
• Incident Response Consortium: Playbooks – Policies & Plans (Templates)
• IT and Information Security Cheat Sheets (by Lenny Zeltser)

Online Tools

Specialized Search Engines

• Shodan – The search engine for the Internet of Things
• Threat Cow – A Search Engine for Threats (by AlienVault / AT&T Cybersecurity)

Web & E-Mail & Mobile

• Qualys SSL Labs – check your server’s and browser’s security
• securityheaders.io – analyze your server’s http response headers
• Hardenize – Domain, E-Mail und Web Security prüfen (von Ivan Ristic, dem Betreiber von SSL Labs)
• Observatory by Mozilla – configure sites safely and securely
• CryptCheck – unterstütze Cipher-Suiten von Web-Server, E-Mail- (SMTP), XMPP- und SSH-Server prüfen
• BadSSL.com (Dashboard) – check certificate handling of your browser/client
• urlscan.io – scan and analyse websites and the resources they request
• Autobahn – automated vulnerability scanner (by Karsten Nohl)
• Sender Policy Framework (SPF), Domain-based Message Authentication (DMARC):
  • SPF Wizard
  • SPF Record Generator
  • SPF Record Testing Tool
  • MXToolBox SPF Record Check
  • DMARC Setup Guide (by Global Cyber Alliance)
• MXToolBox: MX Lookup, MX SuperTool (MX record, DNS, blacklist and SMTP diagnostics), Domain Health Report, Email Header Analyzer, Blacklist Check, and some more tools
• SMTP MTA Strict Transport Security: MTA-STS Validator
• STARTTLS Everywhere – quick check of your email server’s security configuration
• UpGuard – External Website Risk Assessment
• Webutation – Sicherheits- & Nutzerbewertungen für Internetseiten
• ImmuniWeb – AI for Application Security
  • SSL Security Test (PCI DSS, HIPAA & NIST security compliance)
  • Website Security Test (GDPR, PCI DSS, security & privacy: Content Security Policy and Security Headers)
  • Mobile App Security Test (OWASP Mobile Top 10 and other vulnerabilities)
  • Domain Security Test (Check your Dark Web exposure: Phishing, Domain Squatting, Trademark Infringement, Fake Social Networks Accounts)
• Have I Been Pwned: Check if your e-mail has been compromised in a data breach
• Hunter – find e-mail addresses related to a domain (requires registration for a free account)
• RocketReach – find email, phone & social media for 250M+ professionals (requires registration for a free account)
• MailTester.com – e-mail address verification

DNS & IP & Firewall

• FireHOL – iptables firewall generator which builds secure, stateful iptables packet filtering firewalls from easy to understand, human-readable configurations
• DNStools (Meine IP, Traceroute, Ping, DNS Abfrage, Port Scan, Reverse IP, Freie Domains)
• DNS-Abfragen (heise Netze)
• DNS leak test
• DNSSniffer
• IP Location Finder
• myip.dobszay.ch – check your current IP address
• Whois Domain Lookup (Whois.com)
• WHOIS Search (dnsimple)
• Global Whois Lookup for domain names and IP addresses (DNSlytics)
• Whois search for registered .ch domain names (SWITCH)
• IPVOID – IP address tools online to discover details about IP addresses
• DNSdumpster.com – domain research tool to discover hosts related to a domain
• IP Tracker – Lookup (IP, whois, e-mail); trace, track, find IP location with IP tracking technology and IP tracer tool

Privacy

• Webkoll – how privacy-friendly is your site?
• PrivacyScore – test websites and rank them according to their security and privacy features
• Panopticlick – Browser auf Tracking testen (EFF, Electronic Frontier Foundation)
• Exodus Privacy – the privacy auditing platform for Android applications. Check permissions, privacy, and trackers of mobile apps.
• Identity Leak Checker (Hasso-Plattner-Institut für Digital Engineering der Universität Potsdam)
• Browser Privacy Check
• BrowserLeaks is all about browsing privacy and web browser fingerprinting
• Mozilla *Datenschutz nicht inbegriffen – Datenschutz vernetzter Produkte transparent gemacht, Ratgeber für den Einkauf sicherer, vernetzter Produkte

Malware

• VirusTotal – Free Online Virus, Malware and URL Scanner (run by Google) with more than 40 antivirus solutions
• Online-Sandbox Hybrid Analysis – free malware analysis for URLs and files (Public Knowledge Base)
• Online Free Tools to Scan Website Security Vulnerabilities & Malware
• ID Ransomware (Ransomware identifizieren und ev. entschlüsseln)
• The No More Ransom Project – Ransomware Decryption Tools
• Bitdefender Ransomware Recognition Tool – A tool to help ransomware victims find which family and sub-version of ransomware has encrypted their data and then get the appropriate decryption tool

Passwords

• CrackStation – pre-computed lookup tables (rainbow tables) to crack password hashes (works only for unsalted or poorly salted hashes)
• The Password Haystack – brute force password calculator (by GRC – Gibson Research Corporation)

Security Management

• CIS Controls Self Assessment Tool (CIS CSAT)

Other

• RouterCheck – consumer tool for protecting your home router
• IPFingerPrints Network Port Scanner Tool
• Open Source Web Application Vulnerability Scanners (by Infosec Institute)
• BreachAware – Credential Discovery & Remediation
• GTmetrix – website speed and performance analysis and optimization
• YourThings Scorecard – Evaluating and scoring smart-home devices to improve security

Hacking Tutorials

• Null Byte Hacking Tutorials (YouTube), Cyber Weapons Lab Playlist

Security Testing & Hacking Tools

• The Penetration Testing Execution Standard (PTES)
• Penetration Testing Methodologies and Standards
• Penetration Testing Methodologies (owasp.org)
• Open Source Security Testing Methodology Manual (OSSTMM) (by Institute for Security and Open Methodologies – ISECOM)
• Kali Linux – Penetration Testing Distribution
• Ettercap – comprehensive suite for man in the middle attacks
• CQTools – The New Ultimate Hacking Toolkit (by CQURE Team)
  See demo by Paula Januszkiewicz at Back Hat Asia 2019
• KitPloit – PenTest & Hacking Tools
• free hacking tools for Linux and Windows (collected by SecuredYou.com)

Security Solutions

• AV-Comparatives – Independent Tests of Anti-Virus Software

Security-Hersteller

• Check Point Research: Threat Intelligence Reports, Live Cyber Attack Threat Map

Open Source Security Operating Systems & Tools

• OPNsense – Router and Firewall OS based on FreeBSD (Docs)
• pfSense – Router and Firewall OS based on FreeBSD
• IPFire – The Open Source Firewall Distribution (with SPI, IDPS, Web Proxy Server, VPN Gateway, etc.)
• IPCop Firewall – Linux firewall distribution geared towards home and SOHO users
• PacketFence – Open Source NAC (Network Access Control)
• Cuckoo – Open Source Sandbox for automated malware analysis
• Pi-hole – DNS Filter gegen Werbung/Malvertising, Tracker, Malware und Command and Control Domains
• OpenWrt – ​GNU/​Linux ​distribution for embedded devices ​(typically wireless routers)
• Graylog – Log Management: Komplettlösung zur Sammlung und Analyse von Protokolldateien und Alarmierung bei Anomalien
• ModSecurity – Open Source Web Application Firewall by TrustWave (Apache, Microsoft IIS, Nginx)
• WAF-FLE – Web GUI for ModSecurity to store, view and search events (Linux, FreeBSD, and should run with other OS that support PHP and MySQL)
• NGINX Web Application Firewall
• NAXSI – Nginx Anti-XSS & SQL Injection (CentOS, Debian, FreeBSD, Oracle Linux, RedHat, Suse, Ubuntu, x86, AWS, Google Cloud, MS Azure)
• AQTRONiX WebKnight – Open Source Web Application Firewall (WAF) for Microsoft IIS
• Wordfence – WordPress Firewall & Security Scanner
• Shield Security – WordPress Security Plugin

Security Plugins & Addons

Mozilla Firefox (Web Browser)

• uBlock Origin: Adblocker blockiert Werbung, Tracking und Malware-Domains (Projekt-Homepage)
• HTTPS Everywhere: Automatische Umstellung auf HTTPS (Projekt-Homepage)
• Decentraleyes: gegen Nachladen von JavaScript aus externen Quellen zum User-Tracking (Projekt-Homepage)
• CanvasBlocker: gegen Browser-Fingerprinting über JavaScript APIs (Projekt-Homepage)
• Privacy Badger: blockiert Tracking (Projekt-Homepage)
• Smart Referer: gegen Browsererkennung durch HTTP-Header (Projekt-Homepage)
• Privacy Settings: einfache zentrale Browser-Datenschutz-Einstellungen in der Toolbar (Projekt-Homepage)
• Neat URL: gegen URL-Tracking, entfernt Tracking-Parameter in der URL (Projekt-Homepage)
• Skip Redirect: gegen HTTP-Umleitungen, ruft Websites direkt auf (Projekt-Homepage)
• NoScript: verhindert nicht nur das Ausführen von JavaScript, sondern unterdrückt zudem Java-Applets, Flash und Microsofts Silverlight sowie noch mehr (Projekt-Homepage)
• Firefox Multi-Account Containers: isoliert Web-Aktivitäten in von einander isolierten Containern (Projekt-Homepage)
• Temporary Containers: öffnet Websites automatisch isoliert in einem temporären Container (Projekt-Homepage)
• Switch Container Plus: erlaubt das Wechseln des aktuellen Tabs zu einem anderen Container (Projekt-Homepage)
• FoxyProxy Standard: Proxy-Management-Werkzeug (Projekt-Homepage)
• uMatrix: Eine Matrix-basierte Firewall, einfach per Mausklick zu bedienen – und mit vielen Extras, um die Privatsphäre zu schützen (für fortgeschrittene Benutzer)
• Privacy Redirect: Anfragen an Twitter, YouTube, Instagram & Google Maps zu datenschutzfreundlichen Alternativen weiterleitet

Mozilla Thunderbird (E-Mail Client)

• Allow HTML Temp: erlaubt die Anzeige zwischen Text, Simple HTML und HTML mit einem Klick zu wechseln (Projekt-Homepage)
• Paranoia: überprüft und zeigt an, ob eine E-Mail mit TLS transportverschlüsselt wird (Projekt-Homepage)
• DKIM Verifier: überprüft DKIM Signaturen der E-Mail und zeigt an, welche Absender-Domain für eine E-Mail verantwortlich ist
• Display Mail User Agent T: zeigt den E-Mail Client des Absenders an

Privacy Friendly Mobile Apps

Android

• Simple Mobile Tools for Android (by Tibor Kaputa)
• Privacy Friendly Apps (Forschungsgruppe SECUSO, TU Darmstadt): QR Scanner, Shoppingliste, Spiele, …
• K-9 Mail (Google Play-Store, F-Droid)
• FairEmail (Google Play-Store, F-Droid)
• pEp (pretty Easy privacy e-mail client with encryption)
• Firefox (Web Browser)
• Orbot
• Orweb
• Hacker’s Keyboard
• Simple Keyboard
• Magic Earth
• OsmAnd+
• MuPDF viewer
• Netguard (local VPN firewall)
• NewPipe (Youtube client)
• Open Camera
• Text Fairy
• NFC Tools
• OpenTasks
• OpenVPN for Android
• Signal
• Threema
• Conversation
• Jitsi Meet (Google Play-Store, F-Droid)
• Total Commander
• VLC
• OpenTracks (Google Play-Store, F-Droid)
• FitoTrack (Google Play-Store, F-Droid)

iOS

• pEp (pretty Easy privacy e-mail client with encryption)
• Lockdown (local VPN firewall)

 Self-Defense & Data Privacy

• noyb (not of your business) – Nonprofit-NGO und Europäische Plattform zur Durchsetzung der GDPR
• Soomz.io – Gadgets für den persönlichen Datenschutz (Webcam, Kreditkarte, Reisepass, etc.)
• Tor Project – software and anonymity network
• Empfohlene Dienste und Produkte für die digitale Zusammenarbeit mit datenschutzrechtlichen und sicherheitstechnischen Beurteilungen
  (Datenschutz­beauftragte des Kanton Zürich)

Verfügbarkeit von Security Patches

End-of-life (EOL) and support information: endoflife.date

Android-Geräte

• BlackBerry
• Fairphone 2
• Huawei
• LG
• Motorola
• Nexus- und Pixel-Geräte
• Nokia
• Samsung
• Sony

Linux

• will follow soon …

Microsoft

• Microsoft Security Update Guide

Forensics

• will follow soon …

Special Topics

• Intel CPUs affected by Meltdown & Spectre
• ARM CPUs affected by Meltdown & Spectre

Security Bullshit (just for fun)

• Wir sind kein wahrscheinliches/lohnenswertes Ziel. Wer soll uns schon angreifen?
• Security ist Aufgabe der IT-Abteilung / des Herstellers.
• Security hilft uns nicht, mehr Produkte zu verkaufen.
• Uns kann niemand hacken, weil unsere Systeme in einer isolierten Umgebung laufen.
• Wir haben eine Firewall und unsere Clients sind mit einer Anti-Virus Software geschützt. Wir sind sicher.
• Mein Passwort ist sicher.
• Unsere Cybersicherheit ist gut genug, wenn nicht sogar perfekt.
• Unsere Mitarbeiter brauchen keine Schulung. Die wissen, wie man digitale Anwendungen sicher nutzt.
• Wir merken ja, wenn wir uns Schadsoftware einfangen sollten.