Mitternachtshacking

Wikipedia definiert Van-Eck-Phreaking als „eine Technik zur elektronischen Spionage, bei der unbeabsichtigte elektromagnetische Abstrahlungen empfangen werden“.

Die Neufassung des StGB § 202b Abfangen von Daten verbietet ausdrücklich auch das Abfangen von Daten „aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage“.

Ich frage mich ja, wie relevant ist das eigentlich in der Praxis? Also nicht der tolle Laboraufbau, wo man auf Monitor 2 ganz flimmrig sieht, was auf Monitor 1 passiert sondern so richtig real. Kann man aus einem Lieferwagen vor der Bank tatsächlich erkennen, was in der Bank auf dem Monitor steht? Aufklärung wäre erwünscht.

Fefe schrieb gestern:

Kleines Detail der neuen Ermächtigungsgesetzgebung:

1. § 129a, „Bildung terroristischer Vereinigungen“:
   (2) Ebenso wird bestraft, wer eine Vereinigung gründet, deren Zwecke oder deren Tätigkeit darauf gerichtet sind, […] 2. Straftaten nach den §§ 303b […]
2. Der neue § 303b sieht so aus:
   (1) Wer eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch erheblich stört, dass er2. Daten (§ 202a Abs. 2) in der Absicht, einem anderen Nachteil zuzufügen, eingibt oder übermittelt

   und

3. der neue § 202a liest sich so:
   (1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft […]

Fassen wir also zusammen: der CCC ist ab übermorgen eine terroristische Vereinigung.

Heute nur ein kurzer Link:

Convert Physical Windows Systems Into Virtual Machines

VMware ist schon was feines …

Microsoft hat jetzt schwarz auf weiß veröffentlicht, welche Verbesserungen in Windows Vista enthalten sind. Erstaunlich, das Dokument (natürlich im proprietären Word-Format) kann auch von einem Nicht Genuine Windows (aka Linux) mit Nicht Genuine Internet Explorer (aka Firefox) heruntergeladen werden.

Zu den Inhalten:

Engineering a Secure Operating System: ein paar Informationen zum Windows Security Life-Cycle, viele bunte Bilder und ein Haufen Marketing Blabla

Under the Hood of Windows Vista: kurz NX und ASLR angesprochen, Kernel Patch Protection erklärt, Driver Signing, aber keinerlei echte Details

New User, Network, and Application Security Options: User Account Control wird angesprochen, außerdem Werbung für die Windows Firewall, Windows Defender, das Windows Security Center und Network Access Protection gemacht.

New Data Protection Options: Bitlocker ist dabei, außerdem EFS-Verbesserungen und das Digitale Restriktionsmanagement (Rights Management Services, RMS) wird lobend erwähnt.

Security Options in Internet Explorer 7: Der Microsoft Phishing Filter, der zwar recht effizient aber schweinelangsam ist, die SSL Zertifikatsvalidierung, die es richtig schwer macht, auf Server mit selbstgebastelten Zertifikaten zuzugreifen, außerdem der Protected Mode des Internet Explorers und ActiveX-OptIn, was der gleiche Schmarrn ist wie „Safe for Scripting“, weil der Entwickler und nicht der User entscheidet, was sicher ist.

Kurz, 19 Seiten die sich nicht wirklich lohnen, außer um einen Überblick der aktuellen Schlagwörter und Säue zu bekommen, die gerade durch’s Dorf getrieben werden. Ich hätte mir da mehr erwartet.

Ach ja, einen Verweis auf den Windows Vista Security Guide gibt es auch noch. Der wird aber nur als MSI angeboten, wahrscheinlich aus dem einzigen Grund, weil man dann unter Linux das File nicht einfach mit OpenOffice öffnen kann (naja, eine Fancy License ist auch noch dabei). Bei XP und Windows 2003 gab es das noch als ZIP-File.

F-Secure pusht mal wieder die Idee einer Toplevel-Domain .bank die nur für Banken zur Verfügung stehen soll. Auf den ersten Blick klingt das gar nicht so schlecht und F-Secure sucht wohl auch gerade einen Sponsor, der das Thema bei ICANN weitertreiben soll. Auf den zweiten Blick wird das insgesamt nicht viel bringen.

1. Die Leute klicken sowieso auf alles was sich bewegt, selbst wenn extra dabei steht, dass man sich damit seinen Rechner infiziert
2. Die Phisher basteln sich auch weiterhin lustige URLs wie www.postbank.bank.secure.hk und die Leute fallen auch weiterhin drauf rein
3. Weil es immer wieder Lücken im Browser gibt, mit denen z.B. durch JavaScript falsche URLs in der Kopfzeile angezeigt werden können
4. Weil sogar die Default-Einstellungen von Firefox nichts taugen

Das einzige, was eine solche Toplevel-Domain bringt ist, dass sich die Hersteller von Virenscannern und Personal Firewalls leichter tun. Wenn es nach .bank geht ist es ok, braucht man schon mal nicht mehr kontrollieren. Und irgendwann ist einfach alles andere suspekt und fertig.

Hey F-Secure, macht Eure Hausaufgaben 🙂

Kollege Matthias hat sich zur CISSP-Prüfung angemeldet. Das kann ich natürlich nicht auf mir sitzen lassen und habe mich auch gleich mal dort gemeldet. Am 1. Juli ist Prüfung.

Die Anmeldeseite ist lustig. Eine der Fragen: Sind Sie jemals im Zusammenhang mit Hacking aufgefallen?“ Na klar, davon lebe ich. Wir machen Penetrationstests und öffentliche Hackingshows und wenn wir da nicht auffallen, dann machen wir was falsch.

Ich hoffe, die nehmen mich trotzdem … ich hab vorsichtshalber dazugeschrieben, dass ich Certified Ethical Hacker bin. Man weiß ja nie, was die Amis so denken. Obwohl, die CISA-Prüfung würde mich auch noch interessieren.

Privacy 2.0 hat einen neuen Alptraum für Datenschützer entdeckt:

Cluztr (warum verwenden die eigentlich alle so hirnrisse Namen?) sammelt und postet automatisch per Firefox-Plugin alle von einem Benutzer angesurften Webseiten.

Da könnte man was draus machen …

Bruce Schneier und Marcus Ranum unterhalten sich über den Wert und Nutzen von Penetrationstests.

Die Position von Marcus Ranum ist offensichtlich gegen Penetrationstests:

„Pen-testing is a great idea; if you’re a pen-tester. Other than that, I think there are serious problems with the entire concept. The problem with pen testing is that it doesn’t actually measure what people want to believe it measures. Really, what you’re doing is paying a pen tester a hefty amount of money to see how good they are.“

Bruce Schneier sieht das anders und spricht in einem gewissen Rahmen für Penetrationstests:

„Penetration testing is a broad term. I like to restrict penetration testing to the most commonly exploited critical vulnerabilities, like those found on the SANS Top 20 list. There are two reasons why you might want to conduct a penetration test. One, you want to know whether a certain vulnerability is present because you’re going to fix it if it is. And two, you need a big, scary report to persuade your boss to spend more money.“

Meiner Meinung nach greifen beide zu kurz.

Penetrationstest != Vulnerability Assessments != Security Audit

Diese Begriffe darf man nicht durcheinander werfen, da sie unterschiedliche Zielsetzungen haben. In einem Penetrationstest werden Sicherheitslücken gesucht, verifiziert und bewertet sowie Lösungen angeboten. Ein Vulnerability Assessment zeigt anhand von Scans oder der Konfiguration theoretische Schwachstellen auf (die in einem Penetrationstest verifiziert werden können). Ein Security Audit verifiziert die vorhandene Konfiguration gegen einen Standard, ohne real nach Sicherheitslücken zu suchen.

Jede Infrastruktur ist angreifbar, ich denke das ist klar. Ein Penetrationstest zeigt, wo die Infrastruktur besonders angreifbar ist und der dringendste Handlungsbedarf besteht. Alles was kompromittiert werden kann ist eine echte Sicherheitslücke und nicht nur eine theoretische Bedrohung. Systeme, die die Penetrationstester links liegen lassen sind meistens so gut gesichert, dass der Aufwand nicht lohnt. Und schließlich kann geprüft werden, ob und wie die Angriffe erkannt wurden. Dort wo ein Angriff erfolgreich war und niemand ihn bemerkt hat, genau dort liegt das größte Risiko für das Unternehmen.

In diesem Sinne eingesetzt helfen Penetrationstests bei einem effizienten Einsatz der vorhandenen Mittel zur Absicherung der Infrastruktur.

PRISMA = Program Review for Information Security Management Assistance

Das US NIST Computer Security Resource Center hat für US-Behörden ein neues Programm namens PRISMA ins Leben gerufen. Dabei soll die Sicherheit von IT-Systemen bewertet werden. Die Kernidee ist ein sogenannter Maturity Level, der aussagt wie weit Security bereits in einzelne Bereiche vorgedrungen ist:

• Maturity Level 1: Policies
• Maturity Level 2: Procedures
• Maturity Level 3: Implementation
• Maturity Level 4: Testing
• Maturity Level 5: Integration

Das ganze wird mit einer netten Datenbank begleitet und bietet ein paar hübsche Informationen. In Summe gibt es einen Haufen von Fragen die zu beantworten sind, und wenn alles ok ist, dann ist dieser Bereich im Unternehmen „compliant“ und grün, wenn ein paar Sachen gemacht wurden, aber nicht alle, dann ist dieser Bereich „partially compliant“ und gelb, und wenn nichts gemacht wurde, dann ist das natürlich „non compliant“ und rot. Durch die einfachen Fragen dürfte es in der Praxis schnell zu Ergebnissen kommen.

Ich werde mir das mal genauer anschauen und dann darüber berichten .

Ich lese ja gerne The Register. Die Engländer schreiben oft sehr pointiert und zynisch, manchmal richtig bösartig. Und die meisten Artikel enthalten fundierte Informationen.

Heute gab es auch einen netten Artikel: „Memory sticks top security concern for firms„

USB Sticks und MP3-Player gelten bei vielen Firmen inzwischen als primäres Sicherheitsrisiko. Fast 40 Prozent der Befragten nannten Memory Sticks, nur noch knapp 25 Prozent sehen Viren und 22 Prozent Spyware als größte Gefahr. Ich kann das gut verstehen. Auf die MP3-Player eines bekannten Herstellers mit Apfel-Logo passen bequem mehrere GB Daten und dem Wachdienst fällt nicht auf, was da gerade aus dem Unternehmen geklaut wird.

Mein persönlicher Eindruck ist, dass die Gefahr durch Datendiebstahl gerade in mittelständischen Unternehmen noch stark unterschätzt wird. Einige große Konzerne haben das Problem erkannt, die ganz kleinen Unternehmen sind weniger stark davon betroffen. Aber der Mittelstand wird in den nächsten Jahren ein Problem bekommen. Nur fehlt die Sensibilisierung, um wirklich Maßnahmen ergreifen zu wollen.