1. November 2007
Was für eine Überraschung … ISACA hat festgestellt, dass viele Mitarbeiter in den Unternehmen die Policies und Regelungen zur IT-Sicherheit schlicht ignorieren.
„More than 63 per cent were don’t really care about the security of their information while at work.“
Bin ich jetzt der einzige, den das nicht überrascht? Ich muss vielleicht doch mal einen größeren Abschnitt zu Awareness hier einstellen
(mehr hier oder hier)
31. Oktober 2007
Das SANS Institute hat den Monat Oktober zum Cyber Security Awareness Monat ausgerufen und zu diversen Themen ein paar Artikel veröffentlicht:
- Tip #1: Penetrating the This Does Not Apply To Me Attitude
- Tip #2: Multimedia Tools, Online Training, and Useful Websites
- Tip #3: Getting the Boss Involved
- Tip #4: Enabling the Road Warrior
- Tip #5: Social Engineering and Dumpster Diving Awareness
- Tip #6: Developing policies and Distribution
- Tip #7: Host-Based Firewalls and Filtering
- Tip #8: Anti-Virus, Anti-Spyware, and Other Protective Software
- Tip #9: Access Controls, Including Wireless, Modems, VPNs, and Physical Access
- Tip #10: Authentication Mechanisms
- Tip #11: File System Backups
- Tip #12: Managing and Understanding Logs on the Desktop or Laptop (AV, Firewall, or System Logs)
- Tip #13: Patches and Updates
- Tip #14: Data Encryption
- Tip #15: Protecting Laptops
- Tip #16: Protecting Portable Media
- Tip #17: Windows XP & Vista Security
- Tip #18: Mac Tips
- Tip #19: Linux tips
- Tip #20: Software Authenticity
- Tip #21: Understanding Online Threats
- Tip #22: Detecting and Avoiding Bots and Zombies
- Tip #23: Using Browsers, SSL, Domain Names
- Tip #24: Not all patches are released on a Tuesday
- Tip #25: E-mail (PGP, Attachments, etc), IM, IRC
- Tip #26: Safe File Transfer
- Tip #27: Online Games and Virtual Worlds
- Tip #28: Cookies
- Tip #29: Insider Threats
- Tip #30: Blogging and Social Networking
- Tip #31: Legal Awareness (Regulatory, Statutory, etc.)
Nicht alle lohnen sich zu lesen, aber #11 finde ich z.B. spannend.
29. Oktober 2007
SIPVicious hat ein paar coole Tools zum VoIP-Hacken veröffentlicht:
- svmap – this is a sip scanner. Lists SIP devices found on an IP range
- svwar – identifies active extensions on a PBX
- svcrack – an online password cracker for SIP PBX
- svreport – manages sessions and exports reports to various formats
und ein PDF „How to get the job done„.
(via Security4All)
27. Oktober 2007
Die European Expert Group for IT Security (EICAR) hat eine Stellungnahme zum StGB § 202c (PDF) veröffentlicht, nach der Sicherheitsexperten weiterhin Hacking-Tools und Exploits einsetzen dürfen. Voraussetzung sei, dass die Tätigkeit ausreichend dokumentiert wird.
„Aus der Dokumentation sollte sich zweifelsfrei ergeben, dass die Software nicht beschafft wurde, um Straftaten zu begehen, sondern um gutartige Tätigkeiten auszuüben.“
Klingt doch super. Stellt sich nur die Frage … wer oder was sind Sicherheitsexperten? Bin ich einer? Ist mein Azubi einer? Noch nicht? Darf er die Tools dann (noch) nicht verwenden? Wie will er dann damit umgehen lernen?
Ich zitiere dazu Ludwig Thoma (aus der Kurzgeschichte „Der Vertrag“ über den königlichen Landgerichtsrat Alois Eschenberger):
„Er war ein guter Jurist und auch sonst von mäßigem Verstand“
und das zugehörige Urteil vom LAG Baden-Württemberg, AZ 9 Ta 2/07. Dann vielleicht doch lieber frei nach Obelix:
„Die spinnen, die Juristen“
🙂
25. Oktober 2007
Eine URL zum merken: Grundsicherung für PHP-Software bei Heise
die wichtigst Keys:
- allow_url_fopen off
- allow_url_include off
- display_errors off
- register_globals off
- safe_mode on
Ich bin jetzt etwas beruhigt, auf dieser PHP-Installation sind die alle so gesetzt.
22. Oktober 2007
Nach langer Zeit mal wieder eine kleine Buchempfehlung:
The Art of Software Security Assessment
Identifying and Avoiding Software Vulnerabilities: Identifying and Preventing Software Vulnerabilities
von Mark Dowd, John McDonald, Justin Schuh
ISBN-10: 0321444426
ISBN-13: 978-0321444424
Das Buch erklärt, welche Fehler in Software existieren, wie man diese Fehler vermeidet und wie man sie findet. Es ist in folgende Kapitel geglieder:
- Chapter 1 – Software Vulnerability Fundamentals
- Chapter 2 – Design Review
- Chapter 3 – Operational Review
- Chapter 4 – Application Review Process
- Chapter 5 – Memory Corruption
- Chapter 6 – C Language Issues
- Chapter 7 – Program Building Blocks
- Chapter 8 – Strings and Metacharacters
- Chapter 9 – UNIX I: Privileges and Files
- Chapter 10 – UNIX II: Processes
- Chapter 11 – Windows I: Objects and the File System
- Chapter 12 – Windows II: Interprocess Communication
- Chapter 13 – Synchronization and State
- Chapter 14 – Network Protocols
- Chapter 15 – Firewalls
- Chapter 16 – Network Application Protocols
- Chapter 17 – Web Applications
- Chapter 18 – Web Technologies
Auf der Taossa-Webseite findet man Ergänzungen und Errata zum Buch.
Und wenn man sich sowieso schon damit beschäftigt … Secure Programming for Linux von David Wheeler. Seine Dokumentation gehört zum Linux Documentation Project und ist deshalb komplett kostenlos aber wirklich nicht umsonst!
Und nein, ich verlinke nicht zu Amazon. Geht gefälligst zu Eurem Buchhändler um die Ecke, der freut sich wenn er auch mal ein Buch verkauft denn ansonsten gibt es irgendwann keine Buchhändler mehr.
20. Oktober 2007
RSA SecurID Token, diese komischen kleinen Teile mit dem 6-Ziffern-Display auf dem alle 60 Sekunden ein neues Passwort erscheint sind, obwohl teuer, immer noch erste Wahl wenn es um die Authentisierung von Remote Access Usern geht.
Ich gebe ja zu, wir verkaufen selbst RSA und gerade auch als Administrator sind die Teile sehr einfach und schnell eingerichtet und funktionieren einfach. Leider kostet ein Token so ca. 50 Euro und alle drei Jahre darf man ein neues kaufen.
Seit einiger Zeit versuche Anbieter von sogenannten Authentication Grids jedoch, mit extrem günstigen Preisen in den Markt der Authentisierungstoken einzudringen. Zu den Anbietern gehören beispielsweise Masabi aber auch Entrust mit IdentityGuard. Eine IdentityGuard Grid-Karte sieht so aus:
Der Anwender wird dann wie bei Schiffe versenken nach D4, A3 und H5 gefragt und antwortet dann mit „440“. Die Nummer gilt als Einmalpasswort, wenn diese Kombination nur einmal verwendet wird.
Ich sehe dabei zwei grundsätzliche Probleme:
- Die Grid-Karte hat nur 50 verschiedene Kombinationen, d.h. nach relativ wenig Authentisierungsvorgängen kennt der Angreifer die Position von allen Ziffern. Ich kann mit ja D4, A3 und H5 merken, und wenn das nächste mal nach F1, E2 und A3 gefragt wird dann ist die letzte Ziffer des Passworts schon bekannt. Praktisch kann man daher nicht von einem Einmalpasswort sprechen.
- Die Grid-Karte kann unbemerkt vom User kopiert und vervielfältigt werden. Ich bin mir sicher, es gibt auch Menschen mit einem photographischen Gedächtnis, die kucken sich die Karte einmal kurz an und haben alle Ziffern memoriert. Ein wenig Social Engineering („Sie haben so eine Karte? Cool, kann ich die mal sehen?“) und schon ist die Sicherheit gelaufen.
RSA Token haben den Vorteil, dass das Hardware-Token nicht kopiert werden kann. Wenn es weg ist bemerken das die Anwender meist recht schnell. Außerdem ändert sich (zeitsynchronisiert, nicht eventsynchronisiert) alle 60 Sekunden das Passwort, man kann es also gefahrlos herzeigen. Ich persönlich halte die Grid-Token ja weiterhin für eine Spielerei. In etwa einer Stunde kann man sowas z.B. für eine Webserver-Authentisierung auch selbst programmieren. Aber die Karten sind halt extrem günstig (so ab 1 Euro pro Stück) und auf die Rückseite kann man sogar noch Werbung drucken.
Lassen wir also Masabi in seiner Illusion, RSA ersetzen zu können.
18. Oktober 2007
Ich hatte ja vorgestern die Frage gestellt, ob bzw. ab wann man inoffizielle Patches einspielen kann. Natürlich fliegt mir das Thema heute schon um die Ohren, weil der Patch offensichtlich grottenschlecht ist.
Aber die Frage bleibt im Raum stehen: In welcher Situation würde man so einen inoffiziellen Patch einspielen? Was sagt das Risikomanagement dazu?
16. Oktober 2007
Das Microsoft ist-gar-kein-Microsoft-Problem-ach-doch-jetzt-hat-es-auch-Outlook-erwischt-aber-wir-tun-trotzdem-nichts Problem mit der Ausführung unsicheren Codes über URIs hat jetzt dazu geführt, dass mal wieder ein Programmierer einen inoffiziellen Patch bereitgestellt hat.
Das wirft die interessante Frage auf: Einspielen oder nicht?
Klar, im allgemeinen ist die Antwort immer: natürlich nicht. Aber rein theoretisch, wie groß muss die Gefahr sein und wie lange die Verweigerungshaltung von Microsoft ein von ihnen verursachtes Problem auch zuzugeben, bevor die Bereitschaft vorhanden ist, so einen Patch einzuspielen?
Natürlich wäre es besser, den Entwicklern ihren Code um die Ohren zu schlagen bist der Fehler behoben ist, aber wenn die nichts tun hat man halt verloren. Meinen Open Source kann ich notfalls auch selbst patchen und den Linux-Kernel neu kompilieren. Bei Closed Source sieht das leider anders aus.
Also … wie seht Ihr das?
12. Oktober 2007
Mit Viren und Schadprogrammen kann man bekanntlich richtig viel Spaß haben.
Dazu gehört beispielsweise der Download gängiger Construction Kits bei VX Heavens, die man dann gegen ein nicht besonders geschütztes System laufen lassen kann. Spezielle aktuelle Schadprogramme lassen sich oft bei Offensive Computing herunterladen und natürlich gibt es auch noch den üblichen Schadprogramme-Spam. Zum ausprobieren und rumspielen bietet sich ein virtuelles System in VM-Ware an, da kann man am wenigsten kaputt machen.
Bei dieser Gelegenheit kam die Frage auf, was einen guten Virus auszeichnet und wir haben uns da ein paar Gedanken gemacht:
- E-Mail Viren müssen den Anwender neugierig machen
- Die richtige Ausbreitungsgeschwindigkeit entscheidet den Erfolg
- Vor dem Verbreiten die Viren unbedingt ausgiebig Testen
- Ein guter Virus wird von gängigen Virenscannern nicht erkannt
- Der Virus sollte leicht um neue Funktionen erweiterbar sein
- Der Virus sollte unter der GPL (oder ähnlich) lizenziert werden
- Der Virus sollte sich intelligent in Windows einklinken
- Der Virus sollte ein brauchbares Rootkit mitbringen
- Der Virus sollte dem Entwickler einen finanziellen Gewinn bringen
- Der Entwickler sollte den Namen des Virus festlegen können
Alles weitere in der Mitternachtshacking-Präsentation Spaß mit Viren (PDF, 960 KB)