14. Juni 2007

10 Gründe warum die Black Hats die White Hats besiegen

Category: Allgemein — Christian @ 20:49

Quelle und kompletter Text: The Register

  1. Die Black Hats bilden eine integrierte Gemeinschaft, die Wissen und Know-how effizient tauscht
  2. Black Hat ist sogar für zweitklassige Hacker eine Karrieremöglichkeit
  3. Es gibt spzielle Viren, um gängige Antivirusprodukte zu umgehen
  4. Es gibt komplette SDKs zur Entwicklung von Schadprogrammen
  5. Es gibt einen Markt für geklaute Daten
  6. Es gibt komplette Botnetze zu Mieten
  7. Einige Schad-Webseiten sind sehr subtil und clever
  8. Gute Hacker werden nicht erwischt (und ziehen nach Moldawien)
  9. Sogar Banken haben sichere Geld-Transferkanäle
  10. Nicht alle Geschäftsleute scheuen sich vor einem Hackerangriff (auf einen Konkurrenten)

Na, dann steht einer Karriere als Black Hat ja nichts mehr im Weg, oder?

Es gibt keine sicheren Dateiformate mehr

Category: Allgemein,Hacking — Christian @ 01:19

Heute auf Heise.de: OpenOffice führt Code aus rtf-Dokumenten aus

Manchmal könnte ich schon depressiv werden. PDFs sind seit geraumer Zeit nicht mehr sicher, z.B. das integrierte Javascript und XSS und das Catalog Dictionary. JPGs waren schon mal dran, wir erinnern uns an JPEG-of-Death. HTML bietet immer das Problem integrierten Javascripts und Browser sind sowieso ein ganz eigenes Problem. Microsoft Formate wie DOC, XLS, PPT waren ja noch nie sicher und jetzt kann man nicht einmal mehr gefahrlos RTF austauschen.

Was haben wir als nächstes zu erwarten? Buffer Overflows in notepad.exe beim Öffnen von ASCII-Dateien?

Apple und die Security Safari

Category: Hacking,Produkte — Christian @ 01:06

Hach ja, das muss man sich auf der Zunge zergehen lassen:

Apple hat Safari, den tollen MacOS X Browser, jetzt auch für Windows veröffentlicht. Und die Backen sehr voll genommen: „Apple engineers designed Safari to be secure from day one“.

Nunja …

… innerhalb von zwei Stunden war der erste Remote Code Execution Exploit veröffentlicht. Und Thor Larholm ist nicht irgendwer, der hat auch schon einen Haufen Löcher im Internet Explorer gefunden.

jedenfalls, zur Zeit enthält die Liste:

  1. Thor Larholm: URL Protocol Handler Command Injection Vulnerability (für unerlaubte Programmausführung)
  2. David Manor: zwei Remote Code Execution Bugs (einer davon funktioniert auch auf MacOS X) und vier Denial of Service Bugs, alle durch Fuzzer gefunden
  3. Aviv Raff: ein weiterer potentiell ausnutzbarer Memory Corruption Bug

Für „Apple engineers designed Safari to be secure from day one“ ist das ein gutes Ergebnis. Erinnert mich irgendwie an „Unbreakable Oracle“ 🙂

ENISA

Category: Allgemein,Work — Christian @ 00:51

Ich meckere ja immer gerne, dass gerade im Bereich der IT-Sicherheit kritischer Infrastruktur in Europa zu wenig und vor allem nichts koordiniert passiert. In Deutschland hat das BSI ja ein wenig dazu veröffentlicht (rückt aber die Werkzeuge wie Excel-Tabellen nicht raus), in Norwegen ist Sintef recht aktiv, in den Niederlanden z.B. FHI. Das ist aber mit den USA nicht zu vergleichen.

Ich hatte vor einiger Zeit zu diesem Thema ein sehr interessantes Gespräch mit Richard Jackson, dem Head of Global Information Risk Management und Chief Information Protection Officer der Chevron Corporation. Chevron wie praktisch alle Firmen in der Branche der Energieversorgung hat vor einiger Zeit wohl einiges an Ressourcen vom US Department of Homeland Security bekommen, d.h. Geld, Know-how, Forschungskapazitäten an Universitäten etc. und das DHS scheint da auch einiges zu koordinieren.

Und jetzt taucht bei mir auf dem Radarschirm die European Network and Information Security Agency (ENISA) auf. Ob man davon was halten soll weiß ich noch nicht. Die Liste der wichtigen Ereignisse der ENISA lässt jedenfalls nichts gutes vermuten:

  • March 2005: Decision by the ED/Management Board to move ENISA to Crete
  • 13 April 2006: Visit of Commissioner Viviane Reding in Crete
  • 12 May 2006: ENISA Changing domain name .europa.eu
  • 16 June 2006: First informal Management Board – Permanent Stakeholders Group workshop meeting

Das ist übrigens auch der letzte Eintrag, vom 16. Juni 2006. Vermutlich sitzen die Sesselpupser immer noch im Meeting. Zumindest haben sie ein ordentliches Organigramm und ausreichend Assistenten. Ich frag mich ja, ob man sich da bewerben kann. Ein Job auf Kreta wäre schon lässig.

Trotzdem, ein vernünftiger europäischer Ansatz zum Schutz kritischer Infrastruktur, meinetwegen auch ein European Department of Homeland Security oder so, das fehlt hier eindeutig. Und nicht nur reine Marketing-Shows wie dieses Microsoft-sich-im-Netz.