| M | D | M | D | F | S | S |
|---|---|---|---|---|---|---|
| « Aug | ||||||
| 1 | 2 | 3 | ||||
| 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 11 | 12 | 13 | 14 | 15 | 16 | 17 |
| 18 | 19 | 20 | 21 | 22 | 23 | 24 |
| 25 | 26 | 27 | 28 | 29 | 30 | |
Die regionale niederländische Sektion der ISA hat zu einem netten Treffen im Aviodrome in Lelystad eingeladen. Ich halte mal wieder einen Vortrag über das Hacken von Produktionsanlagen.
Die ISA ist ja für Standards wie SP99 zur Sicherheit von Produktionsanlagen verantwortlich. Leider gibt es von der ISA noch keine deutsche Sektion. Mal sehen, was sich da machen lässt.
So, weil das im letzten Artikel mit den diversen Nachträgen etwas unübersichtlich wurde, hier eine kleine Herstellerübersicht. Für Ergänzungen bin ich jederzeit dankbar.
Authentisierungstoken mit Display:
USB-Token:
Grid-Karten:
Falls jemand weitere Anbieter von Produkten kennt, die in DACH käuflich zu erwerben sind, bitte in die Kommentare oder eine kurze Mail an mich.
Zumindest behauptet das Cyber-Ark in einer Studie. Leider gibt es die nur nach Eingabe einer Unmenge persönlicher Daten, deshalb hier der direkte Link (PDF). Was für ein glücklicher Zufall, dass ausgerechnet Cyber-Ark auch Produkte zur Verwaltung sensibler Zugangsdaten wie Administratorpasswörtern anbietet. Wir wären sonst ja verloren.
Ich denke, die Zahlen muss man mit großer Vorsicht genießen. Cyber-Ark hat Unternehmen gefragt, ob sie befürchten, dass Systemadministratoren unberechtigt auf Daten zugreifen könnten. Das hat mit tatsächlichen Zugriffen erstmal wenig zu tun. Klar, es gibt spektakuläre Fälle wie den des ehemaligen UBS-Administrators Roger Duronio, aber die sehe ich als krasse Ausnahme. Wenn es so schlimm wäre, liebe Systemadministratoren, gäbe es nämlich ab nächstes Jahr keinen Kuchen mehr.
Unabhängig davon … die meisten Unternehmen haben tatsächlich keine Strategie was nach dem Ausscheiden eines Systemadministrators zu tun ist. Passwörter ändern ist ja nur ein Baustein. Was muss denn noch alles geändert (z.B. Remote-Zugänge) und kontrolliert (z.B. Dokumentation) werden? Nur mal so als kleiner Denkanstoß.
Gefragt ist eine sichere Authentisierung für VPN und/oder Web über das Internet. Statische Passwörter sind dafür offensichtlich unbefriedigend, gewünscht ist eine sogenannte „Zwei-Faktor Authentisierung“, d.h. zusätzlich zum normalen statischen Passwort soll eine zweite Authentisierung hinzukommen. Mit fallen da spontan mehrere Lösungen ein: Token (so kleine Schlüsselanhänger mit Display die Einmalpasswörter generieren), USB-Token (so ähnlich nur statt Display einen USB-Anschluss), Grid-Karten und Handys.
Im deutschen Markt gibt es scheinbar nicht so viel Auswahl an Authentisierungstoken. Ich wüsste bei den klassischen Token nur drei Hersteller: RSA SecurID, Vasco DigiPass und Kobil SecOVID (Nachtrag: außerdem hat Aladdin SafeWord von SecureComputing gekauft und Entrust hat ebenfalls neue IdentityGuard-Token). RSA funktioniert super, ist aber sehr teuer seit es die Starter Bundles nicht mehr gibt. Vasco kenne ich nicht, die Token waren vor ein paar Jahren aber etwas wacklig und wenig überzeugend. Kobil habe ich mir zum Testen mal bestellt, da gibt es gerade Server + 5 Token + 5 User Lizenz für bissi über 180 Euro netto in der Distribution.
Dann gibt es die USB-basierten Lösungen, die jedoch den Nachteil haben, nicht im Internet-Café nutzbar zu sein. Dafür kann man aber z.B. den Festplattenverschlüsselungskey einer Utimaco SafeGuard Easy darauf speichern. Da weiß ich zwei Hersteller: Aladdin eToken und SafeNet iKey (Nachtrag: man könnte auch die RSA SD800 Token noch erwähnen). Aladdin setze ich zusammen mit Utimaco ein, für die Authentisierung sind mir die USB-Token aber nicht flexibel genug. Mein HP iPaq hat z.B. gar kein USB.
Schließlich gibt es die „wir wollen alles noch billiger“-Variante mit statischen Gridkarten. Das sind meist scheckkartengroße Plastikkarten mit in einer Tabelle angeordneten Zahlen und Buchstaben. Zur Authentisierung muss man dann z.B. wie bei Schiffe versenken A5, C3 und D7 angeben. Da fallen mir ebenfalls zwei Hersteller ein: Entrust IdentityGuard und die Schweizer Savernova. Ich persönlich halte das zwar für SnakeOil aber es gibt tatsächlich Banken die das einsetzen.
Und zu guter Letzt gibt es auch die „ich programmiere mir das selber“-Variante, die meistens daraus besteht, dass man über ein Webinterface seinen Loginnamen und ein statisches Passwort eingibt, dann ein zufällig generiertes Einmalpasswort per SMS auf’s Handy geschickt bekommt, das auch noch eingibt und dann Zugang erhält. Da man so eine Funktion in einer PHP-Anwendung leicht implementieren kann und es diverse E-Mail-to-SMS-Gateways gibt (oder man schließt ein altes Handy seriell an einen Rechner an) kenne ich mehrere Unternehmen, die sich so eine Lösung selbst gebaut haben. Die mTAN (Mobile TAN) einiger Banken ist im Grunde nichts anderes.
Mehr fällt mir zur Authentisierung dann auch schon nicht mehr ein.
Habe ich einen wichtigen Hersteller oder noch schlimmer eine clevere Variante vergessen?
Nachtrag:
Joelle hat mich in den Kommentaren freundlicherweise darauf hingewiesen, dass ich die SafeWord-Token von Aladdin (ehemals SecureComputing) komplett unterschlagen habe. Eine SecureComputing-Tokenbox hab ich sogar noch irgendwo im Schrank stehen, die Teile sind aber tatsächlich nie zum Einsatz gekommen.
Nachtrag 2:
Ok ok, ich schreibe einen neuen Artikel mit einer neuen Herstellerübersicht 🙂
Die IT Underground ist die wichtigste osteuropäische Security-Konferenz und fand im Februar in Prag und findet im Oktober in Warschau statt.
Im Januar wird es erstmalig eine Veranstaltung in Deutschland geben:
Langsam wird der Security Konferenzkalender in Deutschland eng. Neben der IT Underground im Januar drängeln sich noch im Dezember die Chaos Communication Conference, die IT-Defense dann im Februar, die Troopers 2009 (falls sie wieder stattfindet), die Black Hat in Amsterdam und die Infosecurity in London im April um die gleichen Referenten und Interessenten. Mal sehen, wen es davon 2010 nicht mehr gibt.
Die IT Underground in Warschau kostet (nur die Konferenz) 1090 Zloty, umgerechnet gerademal 330 Euro. Mit dem Preisniveau hätte die IT Underground einen echten Wettbewerbsvorteil. Mal sehen.
(Der Hinweis kam per Mail vom Veranstalter, ein werblicher Charakter ist daher nicht auszuschließen)
Trend Micro will in Zukunft auf die Virus Bulletin 100 Zertifizierung verzichten. Im Gegensatz beispielsweise zu Fortinet, die jede Zertifizierung mitnehmen und sich mit den meisten ICSA-Zertifizierungen aller Firewall-Hersteller brüsten.
Spannende Frage: Entwertet das die Zertifizierung wenn weitere Hersteller abspringen oder kostet das Trend Micro Kunden die eine solche Zertifizierung als notwendig erachten? Ich persönlich habe noch nie auf Virenscanner-Zertifizierungen geachtet aber es gibt bestimmt Firmen, die das anders sehen.
Die Vorträge von der Troopers ’08 sind verfügbar. Ein paar Sachen sehen auf den ersten Blick ganz interessant aus aber vieles ist einfach wieder aufgekocht ohne neue Erkenntnisse.
Raoul Chiesa („SCADA and national critical infrastructures“) beispielsweise bringt überhaupt keine neuen Erkenntnisse. Ein paar altbekannte Hüte wie der Wurm im Kernkraftwerk oder das Schmutzwasser in Queensland und ein wenig Blabla über die Vielzahl an Problemen (Mitarbeiter, Hersteller, Kunden, Techniken, …). Und wo ist das Fazit? Wo ist die Hilfestellung was nun zu tun wäre? Im Grunde ist das so ein „Es gibt viele Probleme und ich mach dann noch Werbung für meine Firma“-Vortrag. Na danke, da kann ich drauf verzichten.
Andrej Belenko („Faster Password Recovery with modern GPUs“) berichtet über die Fortschritte die Elcomsoft gemacht hat, um MD5-Cracker auf GPUs zu parallelisieren. Anscheinend war das gar kein besonders großer Aufwand, dafür sind die GPUs fast 10x so schnell wie normale CPUs. Für mich ist das ja eher ein Vortag für eine Hardware-Konferenz. Ein Faktor 10 bei der Hash-Berechnung ist jetzt auch noch nicht so spektakulär. Das ist in den meisten Passwort-Hashverfahren schon mit integriert. Ab etwa 10.000 würde ich anfangen mir Gedanken zu machen.
Horst Speichert („Criminal Hackertools“) hat einen Vortrag über den §202c gehalten. Ich halte Hr. Speichert ja für einen guten Anwalt aber zu dem Thema ist eigentlich alles gesagt worden.
Wirklich gut und neu waren meines Erachtens nur zwei Präsentationen: die von Roger Klose zu ESX-Security und Problemen in der Sicherheit von Virtualisierungslösungen allgemein (DoS durch Fuzzer ist ein beliebtes Problem) und die Vorträge von Michael Thumann. Nur sind beide von ERNW und eine Konferenz von ERNW um die eigenen Vorträge zu promoten ist jetzt doch ein wenig übertrieben.
Kurz, wenn nächstes Jahr nicht deutlich mehr an Neuigkeiten und nicht nur aufgewärmte Vorträge von der Blackhat präsentiert werden, wird sich die Konferenz vermutlich nicht dauerhaft etablieren können.
The Register hat einen kurzen Artikel zur Gefahr von Ajax-Applikationen zusammengestellt. Da sind ein paar Punkte drin die auf den ersten Blick lächerlich trivial klingen aber gar nicht so einfach zum Umsetzen sind:
Mit Toolkits wie dem Google Web Toolkit (GWT), das automatisch Teile des Programmcodes Java nach Javascript übersetzt und auf dem Client ausführt, muss man sich Gedanken machen, welcher Teil wo ausgeführt wird. Ungünstig ist, wenn sensible Teile des Codes wie z.B. die Authentisierung auf dem Client ausgeführt werden.
Das vermeidet Injection-Angriffe bei denen Daten so manipuliert werden, dass sie wie Code ausgeführt werden.
Tja, das mit den verschiedenen Encoding-Standards und der Interpretation im Browser ist so eine Sache.
Zum Artikel „Simple Ajax Security“ und mehr bei OWASP.
Ich muss nochmal einen alten Heise-Artikel herauskramen. Da wurde ein neuer Bootsektor-Virus (man dachte ja schon, die seien ausgestorben) entdeckt, der Windows beim Starten so manipuliert, dass er getarnt ist. Weil die Antivirenhersteller trotzdem eine Möglichkeit gefunden haben den Virus zu entdecken, wurde der Virus jetzt weiterentwickelt (Heise spricht von mutiert) und versucht sich besser zu tarnen. Im Grunde also nichts neues. Außer halt, dass eine Reihe von Virenscannern mal wieder nichts entdeckt.
Interessant finde ich, dass scheinbar überholte Techniken (Bootsektor-Viren galten ja schon als ausgestorben, seit kaum noch jemand Disketten verwendet) plötzlich wieder aggressiv eingesetzt werden können. Ich schrieb schon mehrfach darüber, dass Virenscanner irgendwann keinen großen Schutz mehr bieten werden. Dazu hatte ich neulich auch ein nettes Gespräch mit einem Repräsentanten von Kaspersky auf einer Hausmesse. Die Argumentation geht im Moment so:
Antivirus steht in allen Standards und Best-Practive Empfehlungen, sämtliche IT-Sicherheitsberater empfehlen Antivirus, kein IT-Leiter traut es sich, Systeme und Server ohne Virenschutz zu betreiben. Warum sollte also ein Antivirenhersteller ohne Not schlafende Hunde wecken wenn gerade gut Geld verdient wird?
Ich bin ja gespannt, welche Hersteller in 10 Jahren noch leben. Einige bereiten sich auf die Zeit nach dem Virenscanning bereits vor und entwickeln oder kaufen Technologien für Whitelisting. Andere werden vermutlich verschwinden. Aber solange die Virenscannerhersteller gerade noch gut Geld verdienen denkt kaum jemand so richtig an die Zukunft.
Das SANS Institute hat unter dem Stichwort SANS Software Security Institute eine Reihe von Ressourcen zur sicheren Programmentwicklung zusammengestellt. Dazu gehören einerseits allgemeine Daten wie die häufigsten Programmierfehler (PDF):
Das scheint mir jetzt nichts neues zu sein. Andererseits gibt es darüber auch die Möglichkeit, kostenlose Tests zur sicheren Programmierung der GIAC durchzuführen. Aktuell sind C und Java Tests online.
Es lohnt sich meiner Meinung nach, da kurz reinzuschauen.