11. Oktober 2007

Mehr Physical Security/Office Security

Category: Datenschutz,Work — Christian @ 00:36

Als Ergänzung zum Comedy Video, diesmal geht es etwas seriöser um Office Security:

10. Oktober 2007

Cisco und Scada

Category: Produkte,Produktion,Work — Christian @ 21:27

Cisco löst seine Forschungsgruppe zu Scada-Security auf. Außer ein paar BGP-Tools ist nicht so viel rausgekommen, das meiste ist eh Open Source. Aber es gibt ein paar nette Links zu den relevanten Tools:

Ich werde mir das eine oder andere mal demnächst anschauen.

(via Heise)

9. Oktober 2007

Links zu Security-Konferenzen

Category: Allgemein,Work — Christian @ 02:57

Ein paar Konferenz-Links

Reihenfolge wie üblich ohne Wertung

2. Oktober 2007

Stromgenerator mittels Mausklick zerstört

Category: Produktion,Work — Christian @ 23:29

… oder so ähnlich.

Das US Department of Homeland Security hat jedenfalls auf CNN.com ein Video veröffentlicht, das die Zerstörung eines Stromgenerators durch einen Hackerangriff zeigt. Angeblich sei es auch möglich, vergleichbare Angriffe gegen große Anlagen und Umspannwerke durchzuführen.

Über die Sicherheit von wichtigen Anlagen, sogenannter kritischer Infrastruktur gibt es seit längerem große Diskussionen. Auf der einen Seite zeigen Penetrationstests z.B. von ISS, dass Angriffe sehr wohl möglich sind und mit einfachsten Mitteln durchgeführt werden können. Gerade in den komplexen SCADA-Protokollen wie OPC werden immer wieder Sicherheitslücken gefunden. Andererseits halten Forscher wie Bruce Schneider die Gefahr für übertrieben.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bekanntlich einen Leitfaden für kritische Infrastrukturen veröffentlicht, das Bundesinnenministerium (BMI) hat sogar ein Sicherheitskonzept beigesteuert.

Ich fürchte jedoch, so richtig ins Bewusstsein der Bevölkerung und der Verantwortlichen treten die Risiken und notwendigen Maßnahmen erst, wenn die ersten richtig großen Schäden aufgetreten sind. Eon, RWE, Vattenfall und EnBW sind zur Zeit zu sehr damit beschäftigt, die Bevölkerung auszunehmen als sich konsequent mit den diversen Risiken, angefangen mit Thomasstahl (RWE) über die Kernkraftwerke (Vattenfall) bis hin zur Ausfallsicherheit im Transport (Eon) zu beschäftigen.

1. Oktober 2007

6. Secuta in Garmisch 21.-23.11

Category: Allgemein,Work — Christian @ 22:11

Von 21.-23.11. ist die 6. IT-Security Tagung der CBT Training und Consulting in Garmisch-Partenkirchen. Ein Tag davon wird komplett auf der Zugspitze verbracht.

Kollege Matthias zeigt in etwa 90 Minuten Live-Hacking eindrucksvoll, was der aktuelle Stand beim Hacken von Voice-over-IP, Instant Messaging und anderen weit verbreiteten Kommunikationsprotokollen ist. Neben den üblichen Themen wie Abhören von Telefongesprächen und Umleitung der Anrufe zeigt er auch Man-in-the-Middle Angriffe und ein paar weitere Schmankerl. Am besten einfach überraschen lassen.

Ich selbst bin mit einem Praxisbericht über die Sicherheit in Produktionsanlagen, Vorgehensweisen zur Risikoanalyse, Gefahren von Penetrationstests etc. dabei. Das Thema ist natürlich etwas theoretischer und bietet weniger Showeffekte, wird jedoch durch die zunehmende Vernetzung für viele Unternehmen immer wichtiger.

Außerdem hält Robert Bursy von Neupart, einer Firma die sich auf Tools zur Entwicklung von Sicherheitskonzepten nach ISO 27001 sowie Awarenessprogrammen spezialisiert hat einen sehr interessanten Vortrag zur Einführung eines toolgestützten Sicherheitskonzepts in Unternehmen.

Agenda und Anmeldung ist alles online.

30. September 2007

Normal Accidents

Category: Produktion,Work — Christian @ 10:40

Über das Buch „Normal Accidents“ von Charles Perrow und die Zusammenfassung von Dick Piccard wollte ich schon länger was schreiben aber irgendwie hat immer die Zeit gefehlt. Perrow hängt seine Beispiele am Kernreaktorunfall in Three Mile Island 1979 auf, man kann jedoch leicht Analogien zu modernen IT-Infrastrukturen, insbesondere auch in der Produktion ziehen. Die Begriffe mit denen wir im IT-Risikomanagement arbeiten sind im Grunde jedoch die gleichen.

Es gibt Fehler und Ausfälle („Discrete Failures“), die an einer Stelle auftreten und an und für sich gut verstanden sind. Ein Ausfall einer Festplatte könnte so ein Fehler sein. Um den Schaden solcher Ausfälle zu minimieren werden fehlertolerante Systeme eingesetzt, d.h. wichtige Server enthalten redundante Platten, redundante Netzteile, etc. und wenn eine Komponenten ausfällt bleibt das Gesamtsystem erhalten. Damit versucht man einen „Single Point of Failure“ zu vermeiden.

Gleichzeitig ist die gesamte Infrastruktur immer stärker und enger vernetzt, man nennt das auch „tight coupling“. Solange daher nur ein diskreter Ausfall auftritt bleibt die Situation leicht beherrschbar. Wenn jedoch mehrere solcher diskreter Ausfälle gleichzeitig auftreten dann kann aufgrund der hohen Vernetzung leicht eine Situation eintreten, in der die verschiedenen Ausfälle nicht mehr zuverlässig identifiziert werden können und durch das Zusammenwirken der eigentlich harmlosen Einzelfehler ein hoher Schaden eintritt. Perrow spricht hier von „Interactive Complexity“.

Ein „Normal Accident“ ist ein Unfall oder Schaden, der aufgrund des Zusammenspiels mehrerer für sich genommen harmloser Einzelfehler auftritt, die in Summe kaum noch beherrschbar sind. Solche Unfälle sind auf Dauer kaum vermeidbar, da Fehler mit einer gewissen Wahrscheinlichkeit auftreten und zufällig auch Häufungen vorkommen können.

Um diese Unfälle zu minimieren sind mehrere Maßnahmen hilfreich:

  •  Effizentes Risikoassessment mit einer realistischen Risikoanalyse zur Bewertung der Gefahren und Schäden
  • Minimierung der möglichen Schäden, um Katastrophen zu vermeiden. Hier können oft bereits in der Planung einer Infrastruktur schlimme Fehler vermieden werden
  • Vermeidung von Technologie, die nicht beherrschbar sind. Oft wäre es besser ein stabil betriebenes System mit geringerer Funktionalität zu nutzen als ein unsicheres das jedoch ein paar Gimmicks mehr hat
  • Vermeidung zu starker Integration und Vernetzung, damit sich Schäden nicht ausbreiten können

Vieles davon lässt sich auch in der IT gut umsetzen. Es scheitert jedoch oft am Willen. Dazu vielleicht später mehr.

28. September 2007

Physical Laptop Security

Category: Allgemein,Work — Christian @ 17:05

Ok, das Video ist nicht ganz so lustig wie die Raucher aber möglicherweise für einige Firmen wie z.B. Ernst & Young auf genau dem richtigen Niveau für ihre Mitarbeiter. Die Statistik von The Register über gestohlene E&Y-Laptops ist wirklich eindrucksvoll.

22. September 2007

Fragen an Bewerber + Quiz

Category: Literatur,Offtopic,Work — Christian @ 02:40

Daniel Miessler hat 10 Fragen für ein Security Interview und passende Antworten zusammengestellt:

  1. Where do you get your security news from?
  2. If you had to both encrypt and compress data during transmission, which would you do first, and why?
  3. What kind of computers do you run at home?
  4. What port does ping work over?
  5. How exactly does traceroute/tracert work?
  6. Describe the last program or script that you wrote. What problem did it solve?
  7. What are Linux’s strengths and weaknesses vs. Windows?
  8. What’s the difference between a risk and a vulnerability?
  9. What’s the goal of information security within an organization?
  10. Are open-source projects more or less secure than proprietary ones?

Während ein paar Fragen technisch sind und einige recht philosophisch, geben sie doch einen knappen Überblick der Fähigkeiten des Kandidaten. (via Security4all)

Das erinnert mich an einen Fragebogen, den wir bei einem ehemaligen Arbeitgeber allen zukünftigen Netzwerktechnikern unter die Nase gehalten haben. Inzwischen sind die Fragen natürlich etwas veraltet, ISDN und X.21 spielen z.B. keine große Rolle mehr (ooooh it’s so 1999), aber ich denke man erkennt die Idee. Meine Lieblingsfrage ist immer noch Nr. 15, heute würde ich aber nach RFC 3093 fragen 🙂

  1. Wofür steht die Abkürzung „ICMP“?
  2. Auf welchem Protokoll setzt „ICMP“ auf?
    (Auswahl: Ethernet, TCP, UDP, IP)
  3. Welche der aufgelisteten Protokolle dienen _nicht_ zum Austausch von IP Routinginformationen?
    (Auswahl: SNMP, HSRP, ICMP, BGP, RIP, OSPF, EGP, ARP)
  4. Bitte beschreiben Sie die Funktionsweise des „ARP“ Protokolls.
  5. Auf welchem der genannten Protokolle setzt „ARP“ auf?
    (Auswahl: UDP, ICMP, IP, Ethernet, TCP)
  6. Was ist ein „RFC“?
  7. Beschreiben Sie die konzeptionellen Unterschiede von „PAP“ und „CHAP“.
  8. Wofür steht „CIDR“ und was versteht man darunter?
  9. Bitte beschreiben Sie kurz die grundsätzliche Funktionsweise des „RADIUS“ Protokolls.
  10. Welche Vorteile bietet „OSPF“ im Vergleich zu „RIP“?
  11. Bitte beschreiben Sie die wichtigsten Unterschiede zwischen „RIP-v1“ und „RIP-v2“.
  12. Wofür steht die Abkürzung „OSPF“?
  13. Wofür steht die Abkürzung „SNMP“?
  14. Bitte beschreiben Sie die Unterschiede zwischen „FTP“ und „TFTP“.
  15. Bitte beschreiben Sie RFC 1149 „A Standard for the Transmission of IP Datagrams on Avian Carriers“.
  16. Bitte beschreiben Sie die Funktionsweise von „ping“ bei IP.
  17. Wofür steht „BGP4“ und wo wird dieses Protokoll eingesetzt?
  18. Bitte beschreiben Sie die Funktionsweise des „DHCP“ Protokolls.
  19. Welches der aufgelisteten Protokolle wird bei PPP für die Zuweisung dynamischer IP Adressen an Dialin-Clients verwendet?
    (Auswahl: BOOTP, DHCP, ICMP, IPCP, ARP)
  20. Bitte beschreiben Sie kurz den TCP Verbindungsaufbau.
  21. Welche dieser Organisationen ist für die Zuweisung offizieller IP Protokoll- und Portnummern zuständig?
    (Auswahl: ITU, IANA, ISOC, IEEE, RIPE, IETF, InterNIC)
  22. Was hat man unter „Multi Homed“ in Zusammenhang mit einem Internet-Zugang zu verstehen und was ist hierfür nötig?
  23. Was bedeutet „FTP Passive Mode“?
  24. Bitte erklären Sie kurz die Begriffe „Unicast“, „Multicast“ und „Broadcast“.
  25. Beschreiben Sie die Funktionsweise von „traceroute“.
  26. Welche Auswirkungen hat eine niedrige TCP Windowsize auf die Übertragungsgeschwindigkeit von grossen Datenmengen (bulk transfer) und warum ist das so?
  27. Welche Adressen stehen Ihnen bei dem Subnetz 192.168.1.192 mit der Netzmaske 255.255.255.192 zur Verfügung?
  28. Welche Adressen stehen Ihnen im Netz 192.168.4.0 mit der Netzmaske 255.255.254.0 zur Verfügung?
  29. Was ist ein Transfernetz und wofür wird es benötigt?
  30. Was versteht man unter „Tunneling“?
  31. Nennen Sie mindestens drei IP Tunneling Protokolle.
  32. Bitte beschreiben Sie die grundsätzliche Funktionsweise eines Ethernet Switches.
  33. Beschreiben Sie die Schnittstelle „X.21“.
  34. Was ist die Aufgabe der „ITU“ und wofür steht diese Abkürzung?
  35. Beschreiben Sie die Unterschiede zwischen einem ISDN Point-to-Point und einem Point-to-Multipoint Anschluss.
  36. Welche Bandbreite ist bei einer Standardfestverbindung des Typs „2MS“ der Deutschen Telekom AG nutzbar?
  37. Wie viele Byte pro Sekunde können theoretisch über eine 2MBit/s Standleitung maximal übertragen werden?
  38. Wie viele KBytes sind ein MByte?
  39. Wie gross kann ein IP (Version 4) Paket maximal sein?
  40. An welcher Stelle werden fragmentierte IP Pakete wieder zusammengefügt?
    (Auswahl: beim ersten Router, der IP Fragmente auf dem Weg zum Empfänger bekommt; beim letzten Router auf dem Weg zum Empfänger; durch den TCP/IP Stack des Zielrechners; durch das Anwendungsprogramm auf dem Zielrechner, für das die Daten bestimmt sind)
  41. Welche Unterschiede bestehen zwischen UDP und TCP?
  42. Beschreiben Sie IP Source Routing.

Die Anzahl der Fragen ist übrigens nicht zufällig und natürlich haben wir beachtet, ob einem Kandidaten das auffällt.

Ach ja, Lösungsvorschläge für die unteren 42 Fragen bitte an cgr@mitternachtshacking.de. Der Gewinner erhält einen USB-Stick, bei mehreren gleichen Einsendungen entscheidet das Los. Einsendeschluß ist der 16. Dezember, Mitternacht (Datum des Eingangs meines Mailservers), der Rechtsweg ist ausgeschlossen.

19. September 2007

Ectocrpyt macht uns alle arbeitslos

Category: Hacking,Offtopic,Work — Christian @ 19:12

Ok, es ist vorbei. Das ganze Thema „Hacking“ ist offensichtlich gelaufen. Wir sind jetzt endgültig absolut sicher. Aber nicht wegen dem § 202c, nein, nein. Statt dessen haben wir das der EADS und ihrem Ectocrypt-System zu verdanken.

    „A team of researchers and engineers at a UK division of Franco-German aerospace giant EADS has developed what it believes is the world’s first hacker-proof encryption technology for the internet.“

Quelle: Telegraph.co.uk. Hier gibt es sogar ein lustiges Video und ein Datenblatt (PDF) dazu.

Hmm, mal testen …

  • Secret System … ja, geheime EADS Technologie ohne veröffentlichten Details
  • Technobabble … ja, z.B. „High Assurance Internet Protocol Encryptor (HAIPE)“, „lightning speed key scambling and re-formatting“
  • Unbreakable … ja, offensichtlich
  • One-time Pads … nein, leider nicht

75% Übereinstimmung mit der Definition für Snake Oil Cryptography.

Ich persönlich gebe der Technologie ja so ca. 12 Monate, bevor die NSA eine fette Lücke gefunden hat und das System wertlos ist. Ich fürchte, die Jungs bei der EADS sollte nicht so viel Ghostbusters kucken. Viel witziger hätte ich ja gefunden, wenn die Jungs ihre Verschlüsselung „Clearstream“ genannt hätten. 🙂

8. September 2007

Raucher sind das größte Sicherheitsrisiko

Category: Hacking,Work — Christian @ 20:39

Die Warnung kennen wir schon. Diesmal jedoch in der Visualisierung von NetworkWorld. Besonders amüsant finde ich den eingeblendeten Hinweis „Dramatization“ …

… und den Kommentar: „Thankfully in this case, the voice over IP system was seperated from the data network, meaning the witty intruder could not surf for porn.“ 🙂