7. April 2007
Gerade im Internet gefunden: Bruce Schneier Facts:
Sehr gut gefallen mir diese:
- Bruce Schneier once beat an asymmetric cipher into symmetry.
- Bruce Schneier’s secure handshake is so strong, you won’t be able to exchange keys with anyone else for days.
- When Bruce Schneier observes a quantum particle, it remains in the same state until he has finished observing it.
- For Bruce Schneier, SHA-1 is merely a compression algorithm.
- Bruce Schneier writes his books and essays by generating random alphanumeric text of an appropriate length and then decrypting it.
- Bruce Schneier is not only the man-in-the-middle, he’s at both ends and has wiretaps on Alice, Bob, Carol and Dave.
- Bruce Schneier can crack a one-time pad before it’s used.
- Bruce Schneier’s car is powered by Snake Oil instead of fossil fuels.
Für die weniger informierten Leser: Bruce Schneier ist der Autor von „Applied Cryptograph“ und „Secrets and Lies“, außerdem der Entwickler der Verschlüsselungsalgorithmen Blowfish und Twofish. Die Bruce Schneier Facts sind im Stil der bekannteren Chuck Norris Facts geschrieben.
6. April 2007
Ich bin gerade dabei, ein Seminar „IT-Sicherheit in der Produktion“ zusammenzustellen. Das Thema scheint im Gegensatz zu den USA in Europa generell noch nicht richtig angekommen zu sein. Während drüben das US Department of Homeland Security richtig aktiv ist und Unternehmen dazu nötigt Sicherheitskonzepte für ihre Produktionsanlagen zu erstellen und zertifizieren zu lassen, basiert hier bei uns noch alles auf freiwilliger Basis. Das einzig brauchbare Konzept das ich bisher finden konnte, ist vom Bundesamt für Sicherheit in der Informationstechnik und hat den Titel „Schutz kritischer Infrastrukturen in Deutschland„.
Den meisten Administratoren und IT-Sicherheitsbeauftragten ist nicht mal klar, warum man die normalen Sicherheitskonzepte hier einfach nicht anwenden kann. Darum wird das Seminar mit folgender Übersicht eingeleitet:
|
Unternehmens-IT |
Leittechnik |
| Hauptrisiko |
Verlust von Daten |
Schaden an Leib und Leben, Umweltschäden, Zerstörung von Produktionsanlagen |
| Risikomanagement |
Wiederherstellung durch Reboot;
Betriebssicherheit (safety) ist kein Schwerpunkt |
Fehlertoleranz überlebenswichtig;
Explizite Gefährdungsanalysen (oft sogar gesetzlich vorgeschrieben) |
| Ausfallsicherheit |
Gelegentliche Ausfälle tolerierbar;
Betatest im Betrieb akzeptabel (und bei Standard-Software oft üblich) |
Ausfälle nicht tolerierbar;
Umfassende Qualitätssicherung notwendig |
| Leistungsanforderungen |
Hoher Durchsatz (Bandbreite) vom Benutzer verlangt;
Verzögerungen und Schwankungen in der Qualität akzeptiert |
Bescheidene Durchsatzraten sind oft akzeptabel;
Zeitverzug ist bei Produktionsanlagen ein Sicherheitsrisiko |
| Sicherheit |
Viele Standorte physikalisch kaum gesichert (Besuchsverkehr, etc.);
Kaum Segmentierung interner Netzwerkbereiche;
Fokus liegt in der Absicherung zentraler Dienste und Server |
Hohe physische Sicherheit;
Unternehmensnetze von Produktionsnetzen oft streng getrennt (noch);
Fokus liegt in der Zugangskontrolle sowie Betriebssicherheit und Verfügbarkeit |
Ich bin ja mal gespannt, ob diese Übersicht dem einen oder anderen Teilnehmer die Unterschiede in den notwendigen Sicherheitskonzepten klar macht.
Die meisten Präsentationen der Black Hat Europe 2007 Sicherheitskonferenz sind inzwischen Online. Die Konferenz in Amsterdam ist relativ teuer (zumindest im Vergleich zum Chaos Communication Congress jedes Jahr im Dezember in Berlin) und daher war ich nicht live dabei. Andererseits ist der Vista-Bootkit-Hack von Nitin und Vipin Kumar auch schnell durch die Medien gegangen.
Viel spannender finde ich aber die Themen, die keine große Medienaufmerksamkeit geniessen. Beispielsweise ist Adam Laurie immer wieder für ein paar Lacher gut. Auf dem 22C3 hat er einen hervorragenden und sehr amüsanten Vortrag mit dem Titel „Old Skewl Hacking – InfraRed updated“ gehalten. Auf der Black Hat Europe 2007 hatte Laurie einen Vortrag mit dem Titel „RFIDIOts!!! – Practical RFID hacking“. Sehr lustig ist die vorletzte Seite der Präsentation mit der Reaktion der Firma ACG:
„Unfortunately your companies activities seem to be counter to ACG’s interests so we will not be able to support you any further.“
Manche Firmen scheinen immer noch nicht kapiert zur haben, wie das mit der IT-Sicherheit funktioniert. Abstreiten, blind und taub stellen ist leider keine Lösung.
Die weiteren wichtigen Themen sind immer noch Web-Application Security, mal wieder Oracle und natürlich dominiert Vista den Ring. Der Trend geht offensichtlich ganz klar zu immer weiter automatisierten Vulnerability Scannern, insbesondere Fuzzer sind groß dabei.
Und in SS7 werde ich mich demnächst mal ein wenig einlesen.
5. April 2007
Am 24. April findet wieder die ArchITecture (PDF), eine Fachhändlermesse von Ingram Micro in Neuss statt. Wie letztes Jahr bin ich mit einer Hacking Show vertreten, dieses Jahr sogar zwei Mal unter dem Titel „Hacking Reloaded VoIP“. Warum ich das schreibe? Weil Kollege Matthias gerade seine Testergebnisse geschickt hat.
- Scannen und anschließende Enumeration der Geräte
- ARP Spoofing, um den Traffic im geswitchten Netz umzuleiten
- Anmeldung mit SIPDump mitsniffen und mit SIPCrack das Password rauslesen
- Gespräche mit Cain & Abel als WAV mitschneiden
- Vulnerability Scan auf die Telefone (DoS-Angriff)
Faszinierend ist dabei, wie einfach und reibungslos das alles funktioniert. Die Hacking-Software ist inzwischen richtig gut ausgereift. Damit kann im Grunde jeder umgehen. Ich will gar nicht wissen, welche Möglichkeiten dann erst den legalen Abhördiensten zur Verfügung stehen. Schutz bietet lediglich die konsequente Trennung von Daten- und VoIP-Verkehr über VLANs im LAN sowie die Ende-zu-Ende-Verschlüsselung der Gespräche.
Die Präsentation mit allen Screenshots der verwendeten Tools wird Anfang Mai nachgereicht. Die Teilnehmer der ArchITecture sollen durch ihren Besuch ja einen Wissensvorsprung bekommen 🙂 .
Im Jahr 2005 haben ein Kollege und ich eine Reihe von Vorträgen zu unterschiedlichen Hacking-Themen bei CBT Training & Consulting gehalten. Diese Präsentationen wurden zeitweise auf der alten Mitternachtshacking-Seite veröffentlicht. Nach dem Redesign und weil es diese Vorträge nicht mehr gibt, wurde Mitternachtshacking.de inzwischen zum privaten Blog. Die Präsentationen möchte ich trotzdem gerne wieder hier bereitstellen, allerdings aufgrund des neuen § 202c im StGB ohne Links auf die bzw. Download der verwendeten Hacking-Tools.
Hier ist daher das erste PDF vom Januar 2005: Mitternachtshacking Firewall Tunneling (500 KB)
An diesem Abend ging es um die verschiedenen Möglichkeiten, eine Firewall zu umgehen, in dem beliebiger Datenverkehr über HTTP, HTTPS, SSH, ICMP und DNS getunnelt wird. Eine ähnliche Anleitung findet der geneigte Leser auch bei Heise.de unter dem Titel „Schleichpfade„
4. April 2007
Ich habe letztens von einem Kollegen die ersten Kapitel seines neuen Check Point Buchs vorab zum Lesen bekommen. Weil das Buch noch nicht beim Verlag auf der Webseite steht, will ich hier keine Details nennen. Die Buchdaten folgen also später.
Jedenfalls ist das Buch hochinteressant! Da stehen einige Sachen drin, die ich nicht wusste, z.B. dass es möglich ist, in einem Check Point Cluster auch dann die einzelnen Nodes synchronisieren zu lassen, wenn darauf unterschiedliche Versionen laufen.
Mit dem Kommando fw fcu <IP-Adresse> kann man manuell die State Table vom alten auf den neuen Node synchronisieren und dann den alten Node abschalten. Allerdings muss dazu vorher das Cluster Control Protocol auf Broadcast umgeschaltet werden
Ein Buch für den fortgeschrittenen Anwender 🙂
3. April 2007
Endlich ist mein Blog Online gegangen. In unregelmäßigen Abständen werden hier Neuigkeiten und Kuriositäten zu Hacking- und Security-Themen erscheinen. Mit dem Gedanken dazu trage ich mich schon länger, jetzt ist endlich die Zeit dazu gekommen. Viel Spaß.
