Mitternachtshacking

Kollege Matthias hat sich zur CISSP-Prüfung angemeldet. Das kann ich natürlich nicht auf mir sitzen lassen und habe mich auch gleich mal dort gemeldet. Am 1. Juli ist Prüfung.

Die Anmeldeseite ist lustig. Eine der Fragen: Sind Sie jemals im Zusammenhang mit Hacking aufgefallen?“ Na klar, davon lebe ich. Wir machen Penetrationstests und öffentliche Hackingshows und wenn wir da nicht auffallen, dann machen wir was falsch.

Ich hoffe, die nehmen mich trotzdem … ich hab vorsichtshalber dazugeschrieben, dass ich Certified Ethical Hacker bin. Man weiß ja nie, was die Amis so denken. Obwohl, die CISA-Prüfung würde mich auch noch interessieren.

Privacy 2.0 hat einen neuen Alptraum für Datenschützer entdeckt:

Cluztr (warum verwenden die eigentlich alle so hirnrisse Namen?) sammelt und postet automatisch per Firefox-Plugin alle von einem Benutzer angesurften Webseiten.

Da könnte man was draus machen …

Bruce Schneier und Marcus Ranum unterhalten sich über den Wert und Nutzen von Penetrationstests.

Die Position von Marcus Ranum ist offensichtlich gegen Penetrationstests:

„Pen-testing is a great idea; if you’re a pen-tester. Other than that, I think there are serious problems with the entire concept. The problem with pen testing is that it doesn’t actually measure what people want to believe it measures. Really, what you’re doing is paying a pen tester a hefty amount of money to see how good they are.“

Bruce Schneier sieht das anders und spricht in einem gewissen Rahmen für Penetrationstests:

„Penetration testing is a broad term. I like to restrict penetration testing to the most commonly exploited critical vulnerabilities, like those found on the SANS Top 20 list. There are two reasons why you might want to conduct a penetration test. One, you want to know whether a certain vulnerability is present because you’re going to fix it if it is. And two, you need a big, scary report to persuade your boss to spend more money.“

Meiner Meinung nach greifen beide zu kurz.

Penetrationstest != Vulnerability Assessments != Security Audit

Diese Begriffe darf man nicht durcheinander werfen, da sie unterschiedliche Zielsetzungen haben. In einem Penetrationstest werden Sicherheitslücken gesucht, verifiziert und bewertet sowie Lösungen angeboten. Ein Vulnerability Assessment zeigt anhand von Scans oder der Konfiguration theoretische Schwachstellen auf (die in einem Penetrationstest verifiziert werden können). Ein Security Audit verifiziert die vorhandene Konfiguration gegen einen Standard, ohne real nach Sicherheitslücken zu suchen.

Jede Infrastruktur ist angreifbar, ich denke das ist klar. Ein Penetrationstest zeigt, wo die Infrastruktur besonders angreifbar ist und der dringendste Handlungsbedarf besteht. Alles was kompromittiert werden kann ist eine echte Sicherheitslücke und nicht nur eine theoretische Bedrohung. Systeme, die die Penetrationstester links liegen lassen sind meistens so gut gesichert, dass der Aufwand nicht lohnt. Und schließlich kann geprüft werden, ob und wie die Angriffe erkannt wurden. Dort wo ein Angriff erfolgreich war und niemand ihn bemerkt hat, genau dort liegt das größte Risiko für das Unternehmen.

In diesem Sinne eingesetzt helfen Penetrationstests bei einem effizienten Einsatz der vorhandenen Mittel zur Absicherung der Infrastruktur.

Microsoft Vista mag Dateien nicht löschen. Oder kopieren. Oder verschieben. Oder ab und zu doch, aber dann sehr sehr langsam. Ich kann das leider nicht testen, „isch ‚abe gar kein Vista“. Jedenfalls kocht es gerade in den Microsoft Foren hoch. Und The Register hat mal wieder was zum Lästern.

Erstaunlich ist, dass Microsoft dafür keinen Fix anbieten kann. So kompliziert erscheint mit das löschen, verschieben und kopieren von Dateien nicht zu sein. Was kann man da eigentlich falsch machen?

Eigentlich ist mit das Thema auch egal. Ich überlege nur gerade, wie man das für einen Denial-of-Service Angriff ausnützen könnte … Ideen, irgendwer?

PRISMA = Program Review for Information Security Management Assistance

Das US NIST Computer Security Resource Center hat für US-Behörden ein neues Programm namens PRISMA ins Leben gerufen. Dabei soll die Sicherheit von IT-Systemen bewertet werden. Die Kernidee ist ein sogenannter Maturity Level, der aussagt wie weit Security bereits in einzelne Bereiche vorgedrungen ist:

• Maturity Level 1: Policies
• Maturity Level 2: Procedures
• Maturity Level 3: Implementation
• Maturity Level 4: Testing
• Maturity Level 5: Integration

Das ganze wird mit einer netten Datenbank begleitet und bietet ein paar hübsche Informationen. In Summe gibt es einen Haufen von Fragen die zu beantworten sind, und wenn alles ok ist, dann ist dieser Bereich im Unternehmen „compliant“ und grün, wenn ein paar Sachen gemacht wurden, aber nicht alle, dann ist dieser Bereich „partially compliant“ und gelb, und wenn nichts gemacht wurde, dann ist das natürlich „non compliant“ und rot. Durch die einfachen Fragen dürfte es in der Praxis schnell zu Ergebnissen kommen.

Ich werde mir das mal genauer anschauen und dann darüber berichten .

Es gibt ein neues Check Point Buch!

Ja, ich weiß. Das Check Point Buch von Matthias Leu und Bernd Ochsmann ist schon seit zwei Monaten verfügbar und ich bin spät dran mit diesem Eintrag, aber das meine ich gar nicht. Statt dessen erscheint demnächst dieses Buch:

Check Point VPN-1 Power, Das umfassende Handbuch
Yasushi Kono
Galileo Computing, Juli 2007
ISBN 978-3-89842-897-2

Braucht es ein zweites Check Point Buch? Ich denke ja. Das Buch von Matthias Leu hat den Anspruch, das Referenzwerk schlechthin zu sein. Das Problem mit einem Referenzwerk ist leider, dass die Praxisnähe oft verloren geht. Die Funktionen der Firewall werden möglichst umfassend und vollständig aufgeführt, allerdings ohne sie für den Anwender ausreichend zu bewerten und praxisnahe Empfehlungen zur Umsetzung zu geben. Dieses Defizit behebt Yasushi Kono.

Sein Buch führt längst nicht alle Parameter und Einstellungen auf. Dafür gibt es viele Tipps und Empfehlungen aus der langjährigen Erfahrung und diversen Kundenprojekte. Sehr erfreulich ist der Blick über den Tellerrand. Check Point auf Nokia wird berücksichtigt, Provider-1 wird angesprochen, Integrity beschrieben und sogar die Installation eines RSA Authentication Manager ist enthalten. Besonders gefällt mir das Troubleshooting-Kapitel, in dem typische Probleme angesprochen und Lösungen angeboten werden. Im Grunde eine hilfreiche Auswahl der Secure Knowledgebase auf Papier.

Das Buch erscheint im Juli, ich hatte die Ehre und Freude, das Buch inhaltlich Korrektur zu lesen und den einen oder anderen Tipp zu geben. Und es gefällt mir wirklich sehr gut.

Didier Stevens hat ein interessantes Experiment durchgeführt. Er hat eine Google-Anzeige geschaltet, mit dem Text:

Drive-By Download
Is your PC virus-free?
Get it infected here!
drive-by-download.info

Das Ergebnis war nicht sonderlich überraschend: die Leute klicken auf alles! Innerhalb von 6 Monaten wurde die Anzeige 259.723 mal angezeigt und 409 Leute haben darauf geklickt. Bei Kosten von 17 € für die Anzeige. Nicht schlecht … 4 Cent pro infizierten Rechner.

Im großen und ganzen bringt uns das Experiment folgende Weisheiten:

• User sind dumm. User klicken auf alles, es sei denn man nimmt ihnen die Maus weg
• Social Engineering ist gar nicht nötig, so dumm sind die User
• Werbung scheint inzwischen effizienter und günstiger zu sein als Spam zu verschicken
• Google is evil. Statt die Nutzer vor bösartigen Anzeigen zu schützen wird lieber das Geld eingesteckt.

Also nichts neues hier. Bitte weiterzugehen, nicht stehenbleiben. Es gibt nichts zu sehen.

Es ist Wochenende und ich habe wenig zu tun, also mal alte Notizen durchgehen.

Dabei ist mir ein Vortrag vom Chaos Communication Congress 2005 über Syscall Proxying in die Finger gefallen. Der Vortrag ist von CSK, die Präsentation liegt auf uberwall.com und entwickelt hat die Technik Core Security.

Die Idee ist bestechend: Man bastelt einen kleinen speicherresidenten Agenten, bringt den auf einem gehackten System zum Laufen und hat lokal einen Proxy, der Systemcalls abfängt und an den Agenten weiterleitet. Dort werden die Syscalls dann real ausgeführt, der Rückgabewert an den lokalen Proxy zurückgeschickt und hier an die laufende Anwendung zurück gereicht. Die Vorteile liegen auf der Hand: die diversen Hacking-Tools müssen nicht mehr auf das gecrackte System übertragen werden, der Agent läuft nur im Speicher und sichert nichts auf der Festplatte und nach einem Reboot kann die forensische Analyse nichts mehr entdecken.

Nur: da kommt nichts mehr. Ein paar Demo-Tools um zu zeigen, dass die Technik funktioniert und dann nichts mehr. Lediglich Core Security hat das in Core Impact realisiert. Dabei wäre das wirklich gut. Ich bin leider kein brauchbarer Programmierer, sonst würde ich mich damit mal hinsetzen. So eine Bibliothek hätte die Qualität einer Dsniff-Suite, von der heute immer noch jeder spricht, obwohl Dug Song längst nicht mehr damit beschäftigt ist. Ich muss mir da mal länger Gedanken machen …

Ich lese ja gerne The Register. Die Engländer schreiben oft sehr pointiert und zynisch, manchmal richtig bösartig. Und die meisten Artikel enthalten fundierte Informationen.

Heute gab es auch einen netten Artikel: „Memory sticks top security concern for firms„

USB Sticks und MP3-Player gelten bei vielen Firmen inzwischen als primäres Sicherheitsrisiko. Fast 40 Prozent der Befragten nannten Memory Sticks, nur noch knapp 25 Prozent sehen Viren und 22 Prozent Spyware als größte Gefahr. Ich kann das gut verstehen. Auf die MP3-Player eines bekannten Herstellers mit Apfel-Logo passen bequem mehrere GB Daten und dem Wachdienst fällt nicht auf, was da gerade aus dem Unternehmen geklaut wird.

Mein persönlicher Eindruck ist, dass die Gefahr durch Datendiebstahl gerade in mittelständischen Unternehmen noch stark unterschätzt wird. Einige große Konzerne haben das Problem erkannt, die ganz kleinen Unternehmen sind weniger stark davon betroffen. Aber der Mittelstand wird in den nächsten Jahren ein Problem bekommen. Nur fehlt die Sensibilisierung, um wirklich Maßnahmen ergreifen zu wollen.

Die AACS LA ist ja gerade dabei Webseiten abzumahnen, die eine 128 Bit Ziffer veröffentlichen, mit der viele HD-DVDs entschlüsselt werden können.

Ich denke, da kann man ein Geschäftsmodell draus machen. Bei Freedom to Tinker kann man sich eine 128 Bit Ziffer zufällig generieren lassen, mit der ein einfaches Haiku von Edward Felten verschlüsselt wird. Meine ist

A0 74 B0 1B 79 20 7E AE C0 3D BA D3 43 99 7C 6E

Und wenn jetzt jemand meine 128 Bit Ziffer verwendet oder veröffentlich, dann verklage ich den … 🙂