7. September 2007
Immer wieder interessant, wer sich alles berufen fühlt Sicherheitsanleitungen zur Verfügung zu stellen. Ich fange hier mal eine kurze Zusammenstellung an, vielleicht wächst die im Laufe der Zeit noch etwas. Wäre jedenfalls nicht schlecht. Kommentare sind selbstverständlich erwünscht.
Unix
Microsoft Windows
Deutsche Behörden
Europäische Union
US-Administration
- NIST Computer Security Special Publications
- 800-113 Guide to SSL VPNs
- 800-98 Guidelines for Securing Radio Frequency Identification (RFID) Systems
- 800-83 Guide to Malware Incident Prevention and Handling
- 800-61 Computer Security Incident Handling Guide
- 800-58 Security Considerations for Voice Over IP Systems
- 800-42 Guideline on Network Security Testing
- 800-41 Guidelines on Firewalls and Firewall Policy
- 800-40 Creating a Patch and Vulnerability Management Program
- NSA Security Configuration Guides
- Applications
- Database Servers
- Operating Systems
- Routers
- Supporting Documents
- Switches
- VoIP and IP Telephony
- Vulnerability Technical Reports
- Web Servers and Browsers
- Wireless
Gibt es weitere wichtige Veröffentlichungen?
Update: Aus den Kommentaren
5. September 2007
The Monkey Cage
Start with a cage containing five monkeys. Inside the cage, hang a banana on a string and place a set of stairs underneath it. Before long, a monkey will go to the stairs and start to climb towards the banana. As soon as he touches the stairs, spray all of the other monkeys with cold water. After awhile, another monkey makes the attempt with the same result – all the other monkeys are sprayed with cold water. Pretty soon, when another monkey tries to climb the stairs, the other monkeys will prevent it.
Now, put away the cold water. Remove one monkey from the cage and replace that monkey with a new one. The new monkey sees the banana and wants to climb the stairs. To his surprise and horror, all the other monkeys attack him. After another attempt and another attack, he knows that if he tries to climb the stairs, he will be assaulted.
Next, remove another one of the original monkeys and replace it with a new one. The newcomer goes to the stairs and is attacked. the previous newcomer takes part in the punishment with enthusiasm! Likewise, replace a third original monkey with a new one, then a fourth, then the fifth.
Everytime the newest monkey takes to the stairs, he is attacked. Most of the monkeys that are beating him have no idea why they are not permitted to climb the stairs or why or why they are participating in the beating of the newest monkey. After replacing all of the original monkeys, none of the remaining monkeys have ever been sprayed with cold water. Nevertheless, no monkey ever again approaches the stairs to try for the banana.
Why not?
Because as far as they know, that’s the way it’s always been done around here.
And that, my friends, is how policy begins.
(via Security4all und Different River)
4. September 2007
Das ganze Verfahren der EC-Karten mit PIN ist heute nicht mehr zeitgemäß und eigentlich komplett unsicher. Anscheinend haben das andere inzwischen auch bemerkt.
N-TV berichtet, dass die Verbraucherzentralen jetzt 74 Musterklagen gegen verschiedene Banken führen:
„Wir haben Fälle, bei denen bestohlene Bankkunden den Brief mit der PIN noch ungeöffnet bei sich zu Hause haben“, zitiert der Sender Verbraucherschützer Hartmut Strube. „Diese Fälle zeigen, dass es eine Möglichkeit geben muss, die PIN von Geldkarten zu ermitteln“
Ob da tatsächlich ein Bankmitarbeiter die PIN weitergegeben hat, die PIN aus der Karte errechnet wurde oder sie schlicht erraten werden konnte ist eigentlich irrelevant. Die Sicherheit des Systems ist ist jedenfalls schon lange nicht mehr gewährleistet und die Banken müssen endlich die Verantwortung dafür übernehmen.
Im Internetbanking sieht es nicht besser aus, wie Heise neulich wieder am Beispiel der SEB zeigen konnte. Nicht nur Heise und die Verbraucherschutzvereine fordern die längst fällige Umkehr der Beweislast. Aber bis das zum BGH durchgedrungen ist, werden vermutlich noch viele Kunden durch die mangelhafte Sicherheit einiger Banken geschädigt.
19. August 2007
Sicherheit gibt es nicht umsonst. Sicherheit, insbesondere IT-Security hat immer auch mit Tradeoffs zu tun. Auf der einen Seite erreichen wir mehr Sicherheit, auf der anderen Seite werden System teurer und für die Benutzer unbequemer oder schlechter zu nutzen. Das fängt mit einfachen aber längst akzeptierten Maßnahmen wie Firewalls an. Durch die Implementierung einer Firewall im Netzwerk werden bestimmte Protokolle verboten. Je restriktiver die Firewall, umso weniger Dienste können für Angriffe verwendet werden aber umso weniger Möglichkeiten bleibt den Anwendern, Internet-Dienste zu nutzen.
Gleichzeitig ist der Mensch anscheinend unendlich schlecht, das Risiko von Sicherheitsvorfällen angemessen einzuschätzen. Unsere Risikobewertung scheint immernoch auf den Erfahrungen kleiner Familiengruppen etwa 500.000 vor Christus im Hochland von Ostafrika zu basieren. Insbesondere fällt es uns schwer, die notwendigen Basiswerte korrekt zu bewerten:
- die Eintrittswahrscheinlichkeit von Sicherheitsvorfällen
- die Auswirkungen dieser Sicherheitsvorfälle
- die Kosten der Sicherheitsvorfälle und Gegenmaßnahmen
- die Wirksamkeit der Gegenmaßnahmen
- wir schlüssig Kosten aus Vorfällen und Gegenmaßnahmen verglichen werden können
Bruce Schneier hat in seinem Buch „Beyond Fear“ ein paar typische Probleme aufgeführt, die weitgehend psychologisch erklärt werden können:
- Menschen neigen dazu, spektakuläre aber seltene Risiken zu übertreiben und alltägliche Risiken herunterzuspielen, beispielsweise Flugzeugabstürze im Vergleich zu Verkehrsunfällen
- Menschen haben Probleme damit, Risiken in Bereichen einzuschätzen, die nicht ihrem typischen Erfahrungshorizont entsprechen, beispielsweise Risiken in der Raumfahrt
- Genau identifizierte und beschreibbare Risiken werden höher eingeschätzt als anonyme Risiken
- Menschen unterschätzen Risiken, die sie bereit sind einzugehen und übertreiben Risiken in Situationen, die sie nicht kontrollieren können
- Menschen überschätzen Risiken, die täglich in den Medien thematisiert werden, beispielsweise die Gefahr von Terroranschlägen
Dazu gibt es eine schöne Tabelle von Bruce Schneier:
| Menschen übertreiben Risiken die |
Menschen unterschätzen Risiken die |
| spektakulär sind |
gewöhnlich sind |
| selten auftreten |
häufig auftreten |
| personifizierbar sind |
anonym sind |
| außerhalb ihrer Kontrolle sind |
kontrollierbar sind bzw. bewußt gewählt werden |
| in den Medien diskutiert werden |
verschwiegen werden |
| absichtlich bzw. menschenverursacht sind |
natürliche Ursachen haben |
| sofort passieren |
langfristig passieren |
| plötzlich überraschend eintreten |
über einen langen Zeitraum eintreten |
| sie persönlich betreffen |
andere betreffen |
| für sie neu und ungewohnt sind |
sie gewohnt sind |
| sie nicht kennen |
sie gut verstehen |
| sich gegen ihre Kinder richten |
sich gegen sie selbst richten |
| moralisch verwerflich sind |
moralisch erwünscht sind |
| ohne Vorteil sind |
mit einem abstrakten Vorteil verbunden sind |
| nicht ihrem Bezugsfeld entsprechen |
typisch für ihr Bezugsfeld sind |
Wie viele Menschen erkranken aufgrund ihrer schlechten finanziellen Situation, weil sie sich keine gesunde Ernährung oder den Arztbesuch leisten können? Trotzdem scheint die Mehrheit der Bevölkerung in Deutschland lieber bereit, Geld für die Abwehr einer abstrakten Terrorgefahr auszugeben, anstatt die Situation der Menschen hier in Deutschland zu verbessern.
Vermutlich sollten wir den Entscheidungsträgern in Deutschland, sowohl in der Politik als auch in der IT-Sicherheit einen Psychologen als Hilfe beistellen.
15. August 2007
Die Präsentationen der Black Hat 2007 sind jetzt auch online.
http://www.blackhat.com/html/bh-media-archives/bh-archives-2007.html
Cool stuff, z.B.
- Steve Christey
Unforgivable Vulnerabilities
- Barrie Dempster
VoIP Security: Methodology and Results
- HD Moore & Valsmith
Tactical Exploitation
um mal ein paar herauszuheben.
25. Juli 2007
Der BSI Lagebericht 2007 zur IT-Sicherheit in Deutschland ist da.
22. Juli 2007
Das BSI tut uns auch mal etwas Gutes, hier mit der BSI OSS Security Suite, aktuell in der Version 2.0.
Live Linux Hacking CD-ROMs wie die Back Track CD haben ein paar Nachteile. Der wichtigste ist vielleicht, dass in den meisten Unternehmen Hacking-CDs nicht sonderlich gerne gesehen werden. Auf diesen CDs sind oft eine Reihe von Exploits enthalten, der Inhalt generell ist nicht kontrollierbar und die Firmen haben (oft verständlicherweise) ein wenig Angst vor zu erwartenden Problemen. Ein weiterer Nachteil insbesondere der Back Track CD ist, dass die neuen sehr restriktiven Lizenzbedingungen von Nessus v3 es nicht mehr erlauben, Nessus auf der Back Track mit zu integrieren. Back Track hat konsequenterweise Nessus komplett entfernt. In der praktischen Arbeit hinterlässt das jedoch eine Lücke.
Die BSI Open Source Software Security Suite, kurz BOSS ist eine im Auftrag des BSI entwickelte Software, die Nessus (allerdings v2), Nmap und ein paar weitere nützliche Tools zur schnellen Prüfung der Sicherheit eines Unternehmens enthält. Und da die CD-ROM von der Webseite des BSI heruntergeladen werden kann und sogar mit einem BSI-Logo kommt, ist es interessanterweise für viele Unternehmen akzeptabel diese CD einzusetzen.
Aus diesem Grund haben wir vor einiger Zeit die Präsentation Mitternachtshacking BSI BOSS (PDF, 720 KB) zusammengestellt, die neben der Bedienung von Nessus und NmapFE auch ein paar Infos zum Portscannen an sich enthält. Sicher nicht die besten und detailliertesten Inhalte, aber besser als nichts.
16. Juli 2007
Das ist ein großes Thema, da werde ich zu einem späteren Zeitpunkt noch viel mehr zu schreiben, heute nur ein kurzer Link, der auch schon älter ist:
Freedom to Tinker: Woman Registers Dog to Vote
Mit dieser Methode wollte die gute Dame zeigen, wie unsicher das US-Wahlsystem ist. Sie hat einfach auf den Namen ihres Hundes eine Telefonrechnung laufen lassen und die Rechnung dann als Wohnort-Nachweis für die Registrierung als Wähler verwendet. Gewählt hat sie dann per Briefwahl und niemandem ist das aufgefallen.
Das dumme: das ist leider strafbar. Und deshalb ging das vor Gericht. Sie hat (wohl eine Ausnahme im US-Rechtssystem) einen vernünftigen Richter gefunden und muss nur 250 USD Strafe zahlen und 10 Stunden soziale Arbeit.
Trotzdem, das gleiche droht auch in Deutschland, wenn nicht alle beteiligten Parteien vorher einer Sicherheitsprüfung zugestimmt haben. Und hier wird erschreckend oft geschlampt. Aber dazu später mehr.
11. Juli 2007
Ich war früher mal der Ansicht, die Symantec Firewall ist gar nicht so schlecht, immerhin war sie die letzte Proxy-basierte Firewall. Die Symantec SGS fand ich jedoch schon nicht mehr so ideal weil Hardware von einem Software-Hersteller ist immer ein wenig kritisch zu sehen. Für Standard-Server wie HP oder Dell krieg ich leicht flächendeckend Hardware-Austausch vor Ort in 4 Stunden. Mit den Appliances geht das meistens nur in Großstädten oder gar nicht.
Die SGS besteht im Grunde nur aus einem gehärteten Red Hat Linux sowie der Symantec Raptor Firewall darauf. Ich habe deshalb ja immer gehofft, Symantec wird vernünftig und bietet die Software wie Check Point zur Installation auf beliebigen Servern an. Statt dessen hat Symantec die Firewall offiziell eingestellt. Und jetzt wird es wüst. Richtig entwickelt wird da meiner Meinung nach nichts mehr und die meisten Updates und Fixes machen die Sache eher schlimmer.
Ein Kunde kämpft folglich gerade mit seinem Cluster:
Description: VPN Tunnel Fails after „reboot all cluster nodes now“
1. Configure site to site vpn tunnel between two 2-node clusters using load balancing
2. On one cluster, execute „reboot all cluster nodes now“
3. After nodes reboot, the pings and or wgets fail
4. use bftstat dump -> tunneldb (or look at SGMI active connections) and note that each node negotiated its own tunnel
Oder auf deutsch: wenn man beide Cluster-Node gleichzeitig neu bootet, baut jeder Node für sich die VPN-Tunnel neu auf und weil dann zwei Tunnel da sind funktioniert gar nichts mehr. Leider merken das die Nodes nicht alleine sondern man muss danach einen manuell aus- und wieder einschalten, damit der andere dann die VPN-Tunnel alleine hat.
Ich bin mal gespannt, wann Symantec da einen Fix bringt oder ob der (nicht ganz billige) Wartungsvertrag unseres Kunden vorher abläuft.
Über die Symantec dann ersetzende Firewall bin ich mir auch noch nicht ganz schlüssig:
- Cisco ASA ?
- Check Point FireWall-1 ?
- Juniper NetScreen ?
- oder was exotisches wie Phion ?
Hat zufällig jemand eine Übersicht der Funktionen sowie Vor- und Nachteile? Das würde mir gerade viel Arbeit sparen-
26. Juni 2007
Ein weiteres Thema der Mitternachtsreihe war WEP-Cracking. Darum folgt hier auch die Präsentation zum Mitternachtshacking WEP Un-Security (PDF; 1,0 MB). Die Angriffe wurden alle mit der BackTrack 2.0 CD-ROM durchgeführt, daher stammen auch die Screenshots in der Präsentation.
WEP, Wired Equivalent Privacy, ist die veraltete Verschlüsselungstechnik in Wireless LANs. Bereits kurz nach der Veröffentlichung wurden erste Schwächen in WEP aufgezeigt, die dazu führten, dass durch das Mitsniffen ausreichend vieler Pakete der statische Teil des Verschlüsselungskeys rekonstruiert werden kann. Während Anfangs noch mehrere Millionen Pakete und schwache Initialisierungsvektoren (IVs) notwendig waren, wurden die Angriffe im Laufe der Zeit verfeinert, so genügen inzwischen wenige hunderttausend Pakete und schwache IVs die von vielen Access Points gefiltert werden, sind gar nicht mehr notwendig.
Die Präsentation zeigt eine übliche Angriffsfolge. Dabei wird zuerst die SSID ermittelt, die von vielen Netzwerken nicht mehr in Broadcast-Frames übertragen wird. Anschließend wird, sofern nötig, die MAC-Adresse angepasst, um MAC-Filter zu umgehen. Danach findet eine Paketinjektion von ARP-Paketen statt. Dadurch werden innerhalb von wenigen Minuten die nötigen Pakete erzeugt, die zum Cracken des Keys notwendig sind. Das eigentliche Cracken des WEP-Keys erfolgt zum Abschluss, danach steht das WEP-geschützte WLAN offen.
