23. März 2008

Was ist der PCI Standard wert?

Category: Produkte,Work — Christian @ 13:10

In den USA gab es mal wieder einen großangelegten Diebstahl von Identitätsdaten. Dem Lebensmittelhändler Hannaford wurden etwa 4,2 Millionen (!) Datensätze von Kunden gestohlen. Ok, das ist ein beliebtes Problem und ich vermeide es auch, mit Karte bei Aldi, Lidl und Co. zu bezahlen.

Interessant wird der Vorgang eigentlich erst durch etwas ganz anderes. Nur einen Monat bevor der Datendiebstahl bekannt wurde und während der Klau bereits in vollem Gang war bestand Hannaford ein PCI Security Audit. Der PCI Standard (Payment Card Industry) wurde von den großen Kreditkartenfirmen Visa und Mastercard entwickelt um sicherzustellen, dass Unternehmen die Karten annehmen gewisse Mindestsicherheitsstandards erfüllen, die eigentlich vor genau so einem Datendiebstahl schützen sollen. Wenn jedoch eine Firma das Audit besteht während gerade der Diebstahl stattfindet … das ist wie bei einer Sicherheitsbegehung in einer Bank die gerade ausgeraubt wird.

Was ist das gesamte PCI als Sicherheitsstandard und Zertifizierung dann eigentlich überhaupt noch wert?

17. März 2008

Ingram Micro ArchITecture 2008

Category: Hacking,Work — Christian @ 14:06

Am 09. April findet die diesjährige Ausgabe der Ingram Micro ArchITecture (hier die komplette Agenda, PDF, 1,4 MB) wie jedes Jahr in Neuss statt. Mein diesjähriger Titel:

Hacking Reloaded: Fiese Tricks im Firmennetz
Wie Sie ihren Systemadministrator zur Verzweiflung treiben

Dabei geht es um Software wie Cain & Abel, Spoofing und Sniffing, um Trojaner und andere Schadprogramme und welche Möglichkeiten man als Mitarbeiter im Unternehmensnetz so hat, um diversen Unsinn anzustellen, möglichst natürlich ohne das 11. Gebot (laß Dich nicht erwischen) zu verletzen.

Es lohnt sich natürlich nicht nur wegen meines Vortrags zu kommen. Matthias Leu erklärt beispielsweise was man mit UTM machen kann und welche Vor- und Nachteile man damit eingeht. Das wird garantiert einer der starken Vorträge die sich auch in Argumentationen bei Kunden gut verarbeiten lassen.

Anmeldung zur Teilnahme (beschränkt auf Fachhändler) über die Reseller-Seite von Ingram Micro.

13. März 2008

Cryptanalysis von Crypto-1

Category: Hacking,Produkte,Work — Christian @ 01:31

Das hätte ich ja beinahe übersehen, in der Deutschen Presse steht noch gar nichts dazu. Nur bei The Register ist der Artikel sogar die Hauptseite wert. Der leicht verwirrende Titel „Microscope-wielding boffins crack Tube smartcard“ verdeckt jedoch ein wenig den Blick auf das Wesentliche.

Henryk Plötz, Karsten Nohl und Starbug haben ihre Ankündigung auf dem 24C3 wahr gemacht und sich weiter mit der Mifare Classic Verschlüsselung beschäftigt. Karsten Nohl hat inzwischen eine komplette Kryptoanalyse des bisher von NXP geheim gehaltenen Algorithmus veröffentlicht.

Wie schon auf dem 24C3 angekündigt ist es aufgrund von Implementierungsschwächen des Algorithmus möglich, die Verschlüsselung einer Karte mit geeigneter Hardware in wenigen Minuten, auf Standard-PC-Hardware etwas länger, zu brechen. Um beispielsweise damit umsonst in der Londoner U-Bahn zu fahren oder Zugang zu einer versperrten Chemiefabrik zu bekommen ist das ein überschaubarer Aufwand.

Im Grunde ist die Migration auch technisch nicht besonders schwierig. NXP bietet mit Mifare DESfire (DES-Algorithmus) und Mifare Plus (AES-Algorithmus) auch sichere Varianten der Karte an, allerdings zu einem deutlich höheren Preis. Die einfachen Mifare Classic Karten gibt es schon für wenige Cent. Entsprechend wurden laut NXP bisher auch weit über eine Milliarde Karten verkauft. Die alle abzulösen wird mehrere Jahre dauern, wenn überhaupt das wirtschaftliche und politische Interesse dazu besteht.

Oder wie Karsten Nohl formuliert: „Standardisierte Verschlüsselungsverfahren (wie DES oder AES, Anm.) bieten einen sehr gut untersuchten und verstandenen Sicherheitslevel. Mit einem proprietären Algorithmus kann man das nie garantieren.“

Mal sehen, wann das BSI das mit ihrem Chiasmus auch kapiert. Chiasmus ist der BSI-eigene geheime Blockverschlüsselungsalgorithmus mit 128 Bit Schlüssellänge (160 Bit, davon aber 32 Bit Prüfsumme), der in der gleichnamigen Software und in den SINA-Boxen eingesetzt wird. Ich vermute ja, die Sicherheit von Chiasmus basiert lediglich darauf, dass niemand der Ahnung hat die Software in die Finger bekommen darf.

Nachtrag:

Inzwischen sind die Ergebnisse verifiziert und bestätigt. Sogar Heise hat inzwischen einen Artikel dazu. Ein paar Niederländer haben den skizzierten Angriff auf Crypto-1 inzwischen so optimiert, dass Ergebnisse bereits nach wenigen Sekunden verfügbar sind. Die Betreiber des Niederländischen Nahverkehrsnetzes schätzen, dass weitverbreitete Angriffe und Betrugsversuche in spätestens zwei Jahren zu erwarten sind. Bis dahin wollen sie auf Mifare Plus umstellen. Ich frage mich ja, ob die Umstellung alleine der Steuerzahler finanzieren muss oder der Mifare-Hersteller NXP wenigstens mit den Preisen für die neuen Karten ordentlich nach unten geht.

Herzschrittmacher hacken

Category: Datenschutz,Hacking,Work — Christian @ 00:24

Untertitel aus der Meldung von Golem:

    „Wissenschaftler aus den USA haben herausgefunden, dass Herzschrittmacher mit einer Funkschnittstelle gehackt werden können – mit tödlichen Folgen.“

Inzwischen haben auch implantierte Geräte wie Herzschrittmacher, an die man halt nur schwer herankommt eine Funkschnittstelle und wenn die nicht sauber abgesichert ist, dann rumpelt es eben in der Kiste.

Das untersuchte Gerät (PDF) sendet auf 175 KHz, eine Frequenz die bequem mit einem Oszilloskop analysiert werden kann. Dann noch ein wenig Reverse Engineering und man kann aus dem Gerät sensible Daten auslesen und sogar die Programmierung verändern. In den USA gibt es inzwischen sogar einen eigenen reservierten Frequenzbereich, das 402–405 MHz Medical Implant Communications (MICS) Band auf dem neuere Geräte senden.

In andere Herzschrittmacher ist sogar nur ein einfacher Bluetooth-Chip eingebaut. Die Teile sind extrem günstig und brauchen wenig Energie. Außerdem senden sie nur über geringe Entfernung und sind kompatibel zu normalen Notebooks und Handys. Vermutlich wird als Peering-PIN „0000“ verwendet.

Erschreckend finde ich vor allem, dass das gesamte Equipment, Oszilloskop, Datenkabel, PC, GNU Radio Software (bis auf Mathlab) praktisch komplett bei mir vorhanden ist. Ok, das Oszilloskop müsste ich von meinem Vater ausleihen aber der Rest ist da.

12. März 2008

Security Economics

Category: Allgemein,Politik,Work — Christian @ 23:12

Eigentlich ist das Thema Economics of Information Security, d.h. die betriebswirtschaftliche Betrachtung von IT- und Informationssicherheit kein neues Thema. Vom 25. bis 27. Juni findet in Hanover, NH (USA) der WEIS 2008 (der 7.  Workshop on the Economics of Information Security) statt. Themen der letzten Jahre waren u.a.

Das ganze Thema ist jedoch irgendwie unbefriedigend gelaufen. Ich frage mich immer wieder, welchen Aufwand will/muss man eigentlich treiben um Systeme vernünftig abzusichern:

  • Firewall (ok, sehe ich ein)
  • Virenscanner (hmm, auf PCs bestimmt, aber auf Servern und für Mail?)
  • VPN (sehr praktisch aber oft genügt auch SSH)
  • Datenverschlüsselung (wichtig!)
  • Intrusion Detection/Prevention Systeme (teuer, teilweise recht nutzlos)

Und warum eigentlich? Weil alle diese Funktionen vom Betriebssystem entweder nicht mitgebracht werden (Datenverschlüsselung und VPN wandert gerade hinein) oder damit Schwachstellen des Betriebssystems behoben werden. Von den Kosten für Patchmanagement gar nicht zu reden.

Jedenfalls wird das Thema aktuell, die ENISA, die European Network and Information Security Agency, von der ich schon mal schrieb hat das Thema Security Economics für sich entdeckt. Die ENISA hat jedenfalls einen Forschungsbericht mit dem Titel „Security Economics and the Internal Market“ (PDF) finanziert, der interessante Forderungen aufstellt:

  • ein EU-weites Gesetz zur Veröffentlichung von Sicherheitsvorfällen
  • Regelungen, dass neu angeschlossene Geräte per Default abgesichert sein müssen
  • Hersteller sollen für ungepatchte Software verantwortlich gemacht werden

Insgesamt ein eindrucksvoller Forderungskatalog. Ich war beim Lesen wirklich überrascht und beeindruckt.
Der letzte Punkt ist natürlich ein ganz heißes Eisen. Zur Zeit stehlen sich die Anbieter von Software aus der Verantwortung, weil sie jede Haftung für Fehler in den Lizenzbedingungen ausschließen können. Microsoft hat beispielsweise noch nie für einen Software-Fehler haften müssen, egal wie hoch der Schaden war. Autohersteller zum Beispiel können von so einer Welt nur träumen. Selbst wenn die Haftung auf den Anschaffungspreis begrenzt wäre, eine sinnvolle Lösung, um z.B. freie und Open Source Software nicht zu sehr einzuschränken, wäre das Interesse des Herstellers, mehr in die Sicherheit seiner Produkte und etwas weniger in die reinen Funktionen zu investieren auf einen Schlag gewaltig.

Und das ist natürlich nicht national durchsetzbar, mit der inkompetenten Politikerkaste in Deutschland schon gar nicht. Eine Europäische Union, die gegen Microsoft ein Bußgeld von 497 Millionen Euro in der ersten und 899 Millionen Euro in der zweiten Runde verhängen konnte, ist jedoch ein ganz anderer Gesprächspartner.

Mitautor war übrigens Rainer Böhme von der TU Dresden, das ist jemand, den man in den nächsten Jahren im Auge behalten sollte.

2. März 2008

Kleine Sun-Lücke

Category: Hacking,Produkte,Work — Christian @ 01:59

Nichts großes eigentlich, nur ein Fehler in Solaris 8-10 bezüglicher der Reassemblierung fragmentierter Pakete. Im Fehlerbericht weist Sun auf die Konsequenzen hin:

„A security vulnerability in Solaris Internet Protocol (IP – see ip(7P)) implementation may allow a remote privileged user to send certain packets bypassing the security policies set by a firewall or to cause the system to panic, creating a Denial of Service (DoS) condition.“

Oha … Umgehen der Firewall durch ein paar fehlerhafte Pakete, das ist was spannendes. Und jetzt ist Solaris eigentlich schon ein recht gutes System. Ich frage mich gerade wie das mit einer virtualisierten Firewall auf VMware sein könnte. Da gibt es ja zusätzlich den VMware-Stack, wenn dort eine vergleichbare Lücke auftritt dann wird es echt lustig.

Ein wenig im Betrieb spionieren

Category: Offtopic,Work — Christian @ 01:52

Die Süddeutsche Zeitung schreibt recht gut recherchiert über den Feind im eigenen Büro:

    „Gefährlicher als Hacker oder Spitzel der Konkurrenz sind die eigenen Mitarbeiter.“

Natürlich hat sie damit recht. Industriespionage durch Mitarbeiter ist gerade bei innovativen Unternehmen eines der größten Sicherheitsrisiken.

Im Grunde fehlt uns nur eine geeignete Versteigerungsplattform für geklaute Firmendaten. Wikileaks ist zwar ganz nett aber man verdient nicht gut damit. Eigentlich gar nichts. Selbst für Assassination Politics, das einen großen Markt gäbe, hat sich aber bisher kein Plattformanbieter gefunden.

Interessant finde ich, dass der Beitrag in der SZ unter der Kategorie „Karriere“ zu finden ist. Andererseits, Silicon bestätigt uns, dass der Markt für Industriespionage jährlich um 10 Prozent wächst. Da gibt es offensichtlich noch Chancen.

18. Februar 2008

Virtualisierte Firewalls und meine Bauchschmerzen damit

Category: Hacking,Work — Christian @ 22:06

Liest zufällig jemand die ComputerZeitung? Mir ist beim Aufräumen meines Schreibtisches zufällig die Ausgabe vom 8. Januar 2008 in die Finger gefallen, mit einem interessanten Artikel auf Seite 19.

Das Herzzentrum Lahr hat dort auf Basis von Astaro und VMware die Firewalls virtualisiert. Meines Wissens bastelt Phion an einer ähnlichen Idee und Check Point SecurePlatform hab ich auch schon erfolgreich auf VMware installiert. Ich überlege jetzt schon seit einiger Zeit ob virtuelle Firewalls wirklich eine sichere Lösung darstellen können.

Meine Datenbasis:

1. Die Secunia-Statistik zum VMware ESX Server 3.0

Vielleicht bin ja nur ich paranoid, aber für meinen persönlichen Geschmack sind das ein paar CVEs zuviel für ein Device, das direkt im Internet steht (nein, man kann die Firewall nicht in die DMZ stellen!). Auch wenn viele der Probleme nicht remote ausnutzbar sein werden habe ich insgesamt kein so gutes Gefühl dabei. Und hat jemand am 05.04. den CVE-Eintrag von 2003 gesehen? Da hat sich hemand viel Zeit beim Beheben des Fehlers gelassen. Aber weiter im Text.

2. VMware ESX kann ja auch nicht grad alles, was man von einer Firewall benötigt (ich kenne Firmen die mit 64 Interfaces nicht auskommen):

    „Nachteilig wirkt sich die notwendige Komplexitätssteigerung im Switching-Bereich aus. Weil unter ESX maximal vier virtuelle Netzwerkkarten möglich sind, musste Hussy (der IT-Leiter, Anm.) mittels VLA-Tagging und einer komplexen Switchkonfiguration samt Verkabelung nachhelfen.“

Anders ausgedrückt, diverse früher physikalisch getrennte Sicherheitszonen sind jetzt in VLANs auf den Switchen zusammengefaßt und man hofft, die Switch-Konfiguration im Griff zu haben. Ok, laut beiligender Zeichnung war man klug genug, für „Outside“ ein dediziertes Netzwerkinterface mit dem virtuellen Firewall-System zu verbinden.

Trotzdem … ein kleiner billiger NetScreen 5GT HA Cluster kostet nur 3000 Euro (und damit weniger als eine einzelne Astaro-Lizenz) und ich habe eine dedizierte Hardware. Für den Astaro-Preis kann ich auch fast schon Check Point kaufen und wenn das Gerät unterdimensioniert ist, einfach eine andere Hardware unter die SecurePlatform schieben. Oder ist das eine saucoole Lösung und ich bin nur zu blöd, das zu sehen?
Nachtrag: 

Und wenn ich sowas schon installiere, ist es dann klug, daraus eine „Success Story“ zu machen, damit auch jeder im Internet weiß, wo er potentiell angreifbare Firewalls auf VMware-Basis findet, die beim nächsten VMware ESX Remote Exploit dem verantwortlichen IT-Leiter um die Ohren fliegen. Oder ist das saucool weil man sooo viel Geld damit spart und ich bin nur zu blöd …

17. Februar 2008

Das BKA sucht Programmierer

Category: Allgemein,Work — Christian @ 16:44

Offensichtlich ist dem BKA die Miete des Bayern-Trojaners zu teuer. Immerhin will der Anbieter, die Firma DigiTask GmbH vom Freistaat für die Miete der Skype-Abhörsoftware 3500,- Euro pro Monat und Abhörmaßnahme sowie 2500,- Euro pro Monat für die SSL-Verschlüsselung (Preise hier im PDF). Das kann ich gut verstehen. Im aktuellen Liechtensteiner Steuerskandal sind alleine in Nordrhein-Westfalen angeblich inzwischen 150 Ermittlungsverfahren eingeleitet worden. Wenn man die alle mit so einem Trojaner überwachen wollte, würde sich kaum noch ein Steuergewinn ergeben. Außer Bayern (und vielleicht noch Baden-Württemberg) kann sich den DigiTask-Trojaner kein Bundesland leisten.

Konsequenterweise will das BKA seinen Trojaner nun selbst entwickeln und wenn man das nötige Wissen nicht hat, dann muss man das kaufen. Diesmal können jedoch wohl weder T-Systems (die mit der LKW-Maut) noch Accenture (die mit dem Arbeitsamt-Webportal) und auch nicht McKinsey (die das renommierte Goethe-Institut beinahe ruiniert hätten) weiterhelfen. Ich fürchte, in einschlägigen Kreisen in Russland will das BKA auch nicht auf Einkaufstour gehen. Also bleibt nur selber basteln.

Auf der Job-Seite der FAZ hat das BKA eine Stellenausschreibung für eine/n Entwickler/in Programmierer/in geschaltet. Eigentlich klingt das ganz spannend:

  • Ein vielfältiges Aufgabenspektrum, das Kreativität, Vision und ein hohes Maß an Eigeninitiative erfordert
  • Die Möglichkeit, einen neuen Arbeitsbereich aktiv mitzugestalten
  • Die Mitarbeit in einem hoch motivierten Team
  • Aufgabenbezogene Aus- und Fortbildung

Na gut, das ist Blabla, das in jeder Stellenanzeige steht.  Kucken wir mal weiter was gefordert wird:

  • Sehr gute Kenntnisse im Bereich der Sicherheit von Computernetzwerken
  • Fundierte Betriebssystemkenntnisse Unix/Linux und Windows
  • Sehr gute Kenntnisse und mehrjährige Erfahrung in Programmierung (C, C++)

Die Kombination fällt für mich in den Bereich „knappes Gut“. Da kennen sich hier nicht mehr viele Leute aus, seit das Wissen um die Sicherheit von Computernetzwerken durch das Justizministerium in Person von Frau „ich habe keine Ahnung und keine Daten auf meinem geklauten Laptop“ Zypries durch Gesetze wie den § 202c in Deutschland massiv kriminalisiert wird. Ich denke mal, da wird das BKA zumindest ordentlich zahlen?

  • Eine Bezahlung nach Entgeltgruppe 11 TVöD des Tarifvertrages für den öffentlichen Dienst (TVöD) für die/den Entwickler/in bzw. Programmierer/in

Hmm, mal hier kucken. Entgeltgruppe 11 TVöD sind brutto 2.430 Euro in der Stufe 1. Für so wenig Geld habe ich jedenfalls nicht Informatik studiert. Ok, das steigt nach einem Jahr auf 2.700 Euro und nach 10 Jahren sogar auf 3.635 Euro. Aber halt, die Stelle ist auf zwei Jahre befristet.

Zum Vergleich, wir bezahlen unserem gesuchten Firewall-Trainer anfangs brutto 2.200 Euro/Monat plus Bonus für gehaltene Schulungstage was im Schnitt pro Monat nochmal etwa 500 Euro ausmacht (natürlich saisonal bedingt schwankend). Also von Anfang an bereits 2.700 Euro, ein Hochschulstudium ist nicht erforderlich und die Stelle ist unbefristet.

Zwei Jahre, das scheint übrigens so die Zeit zu sein die das BKA dem Bundesverfassungsgericht gibt um festzustellen, dass der Einsatz eines Bundestrojaners gegen die Verfassung verstößt. Und dann will man den nicht mehr benötigten Entwickler natürlich elegant wieder los werden.

Naja … falls doch jemand Interesse hat, hier der Link zum Bewerben oder dieses PDF herunterladen. (Aber Vorsicht beim Klicken. Wenn das BKA nach Auswertung der Webserver-Logfiles eine Hausdurchsuchung startet, bin ich nicht schuld dran!)

(via Fefe)

22. Januar 2008

Die bösen bösen Virenscanner

Category: Work — Christian @ 17:03

Manchmal hab ich echt den Eindruck ich steh im Wald … heute war wieder so ein Tag.

Ein Kollege und ich hatten ein Gespräch mit einem potentiellen Kunden über Penetrationstests. Wir haben so unsere Leistungen vorgestellt und das Gespräch drehte sich dann über potentielle Einstiegspunkte in ein Netzwerk. Ich sehe da vor allem Webapplikationen und Mails, die User auf Drive-by-Schadprogramme lotsen.

Irgendwann kam dann das Gespräch auf Virenscanner und irgendwer hatte dem Penetrationstest-Interessenten erzählt, Virenscanner seien das absolut übelste was es gibt und man könne mit einer einzigen Mail jeden beliebigen Virenscanner so übernehmen, dass dann ein Programm installiert wird, das dann automatisch eine Verbindung nach außen aufbaut und sensible Programme hinausschleust.

Ich habe mich irgendwie an den Vortrag von Sergio Alvarez auf dem Chaos Camp erinnert, der sich ja mit Sicherheitslücken in Virenscannern beschäftigt hatte aber so krass kam das damals bei ihm nicht rüber. Ich sehe das auch ein klein wenig anders:

  1. Virenscannerhersteller sind gewohnt, schnelle Updates zu verteilen. Wenn so eine Lücke auftritt, wird die normalerweise in relativ kurzer Zeit per Scannerengine-Update automatisch aktualisiert. Das „Window of Vulnerability“ dürfte daher meistens relativ klein sein.
  2. Mit einer einzelnen Mail lässt sich bestimmt nicht jeder Virenscanner übernehmen.  Ich halte es vielleicht gerade noch für denkbar, dass für (fast) jeden Virenscanner ein Attachment konstruiert werden kann mit dem dieser Virenscanner übernommen werden kann.
  3. Die meisten Unternehmen haben mehrere Virenscanner verschiedener Hersteller im Einsatz, am Gateway und auf den Clients, das erschwert zumindest solche Angriffe.
  4. Defense-in-Depth bedeutet auch, dass nicht jeder Client beliebig Verbindungen ins Internet aufbauen kann, das sollte also dadurch schon verhindert werden.

Insgesamt stellte sich für mich die Frage: Welchen Sinn hat es, auf Virenscannern rumzureiten, wenn die Ausgangsposition des potentiellen Kunden war, mit Hilfe eines Penetrationstests die Sicherheit der von den Administratoren verwalteten Systeme von Extern überprüfen zu lassen. Ich habe für die verwendete Firewall vielleicht sogar noch einen Zero-Day in der Hinterhand aber das beweist nicht, dass die Administratoren schlechte Arbeit leisten oder das Produkt an sich schlecht wäre. Das beweist lediglich, dass man mit Glück und zum richtigen Zeitpunkt (genau, schon wieder das Window of Vulnerability) eigentlich immer einen Weg irgendwo rein findet.

Ich hab dann mal beim Arbeitgeber von Sergio auf die Webseite gekuckt. Siehe da, die haben ein Produkt mit dem Namen „Parsing Safe“ entwickelt, mit dem sich Virenscanner anscheinend in eine gekapselte Umgebung einbetten lassen, die Exploits verhindern soll. Erinnert mich einerseits an die Sandbox-Technik z.B. von Finjan, auf der anderen Seite an PivX, die irgendwann mal einen Sicherheitslösung für den Internet Explorer entwickelt hatten.

Und klar, wenn man einen Penetrationstest als Verkaufsveranstaltung für die eigenen Sicherheitsprodukte betrachtet, dann macht dieses Vorgehen plötzlich Sinn.