Mitternachtshacking

Quelle und kompletter Text: The Register

1. Die Black Hats bilden eine integrierte Gemeinschaft, die Wissen und Know-how effizient tauscht
2. Black Hat ist sogar für zweitklassige Hacker eine Karrieremöglichkeit
3. Es gibt spzielle Viren, um gängige Antivirusprodukte zu umgehen
4. Es gibt komplette SDKs zur Entwicklung von Schadprogrammen
5. Es gibt einen Markt für geklaute Daten
6. Es gibt komplette Botnetze zu Mieten
7. Einige Schad-Webseiten sind sehr subtil und clever
8. Gute Hacker werden nicht erwischt (und ziehen nach Moldawien)
9. Sogar Banken haben sichere Geld-Transferkanäle
10. Nicht alle Geschäftsleute scheuen sich vor einem Hackerangriff (auf einen Konkurrenten)

Na, dann steht einer Karriere als Black Hat ja nichts mehr im Weg, oder?

Heute auf Heise.de: OpenOffice führt Code aus rtf-Dokumenten aus

Manchmal könnte ich schon depressiv werden. PDFs sind seit geraumer Zeit nicht mehr sicher, z.B. das integrierte Javascript und XSS und das Catalog Dictionary. JPGs waren schon mal dran, wir erinnern uns an JPEG-of-Death. HTML bietet immer das Problem integrierten Javascripts und Browser sind sowieso ein ganz eigenes Problem. Microsoft Formate wie DOC, XLS, PPT waren ja noch nie sicher und jetzt kann man nicht einmal mehr gefahrlos RTF austauschen.

Was haben wir als nächstes zu erwarten? Buffer Overflows in notepad.exe beim Öffnen von ASCII-Dateien?

Hach ja, das muss man sich auf der Zunge zergehen lassen:

Apple hat Safari, den tollen MacOS X Browser, jetzt auch für Windows veröffentlicht. Und die Backen sehr voll genommen: „Apple engineers designed Safari to be secure from day one“.

Nunja …

… innerhalb von zwei Stunden war der erste Remote Code Execution Exploit veröffentlicht. Und Thor Larholm ist nicht irgendwer, der hat auch schon einen Haufen Löcher im Internet Explorer gefunden.

jedenfalls, zur Zeit enthält die Liste:

1. Thor Larholm: URL Protocol Handler Command Injection Vulnerability (für unerlaubte Programmausführung)
2. David Manor: zwei Remote Code Execution Bugs (einer davon funktioniert auch auf MacOS X) und vier Denial of Service Bugs, alle durch Fuzzer gefunden
3. Aviv Raff: ein weiterer potentiell ausnutzbarer Memory Corruption Bug

Für „Apple engineers designed Safari to be secure from day one“ ist das ein gutes Ergebnis. Erinnert mich irgendwie an „Unbreakable Oracle“ 🙂

Ich meckere ja immer gerne, dass gerade im Bereich der IT-Sicherheit kritischer Infrastruktur in Europa zu wenig und vor allem nichts koordiniert passiert. In Deutschland hat das BSI ja ein wenig dazu veröffentlicht (rückt aber die Werkzeuge wie Excel-Tabellen nicht raus), in Norwegen ist Sintef recht aktiv, in den Niederlanden z.B. FHI. Das ist aber mit den USA nicht zu vergleichen.

Ich hatte vor einiger Zeit zu diesem Thema ein sehr interessantes Gespräch mit Richard Jackson, dem Head of Global Information Risk Management und Chief Information Protection Officer der Chevron Corporation. Chevron wie praktisch alle Firmen in der Branche der Energieversorgung hat vor einiger Zeit wohl einiges an Ressourcen vom US Department of Homeland Security bekommen, d.h. Geld, Know-how, Forschungskapazitäten an Universitäten etc. und das DHS scheint da auch einiges zu koordinieren.

Und jetzt taucht bei mir auf dem Radarschirm die European Network and Information Security Agency (ENISA) auf. Ob man davon was halten soll weiß ich noch nicht. Die Liste der wichtigen Ereignisse der ENISA lässt jedenfalls nichts gutes vermuten:

• March 2005: Decision by the ED/Management Board to move ENISA to Crete
• 13 April 2006: Visit of Commissioner Viviane Reding in Crete
• 12 May 2006: ENISA Changing domain name .europa.eu
• 16 June 2006: First informal Management Board – Permanent Stakeholders Group workshop meeting

Das ist übrigens auch der letzte Eintrag, vom 16. Juni 2006. Vermutlich sitzen die Sesselpupser immer noch im Meeting. Zumindest haben sie ein ordentliches Organigramm und ausreichend Assistenten. Ich frag mich ja, ob man sich da bewerben kann. Ein Job auf Kreta wäre schon lässig.

Trotzdem, ein vernünftiger europäischer Ansatz zum Schutz kritischer Infrastruktur, meinetwegen auch ein European Department of Homeland Security oder so, das fehlt hier eindeutig. Und nicht nur reine Marketing-Shows wie dieses Microsoft-sich-im-Netz.

Nun gut, das Konradin TechForum ist vorbei und der zweite Tag hat den ersten bezüglich der Aussteller und Teilnehmer meiner Meinung nach bestätigt. Zu wenig ausstellende Big Player und zu wenig Teilnehmer. Und viel zu viel Pause statt einer straffen Agenda.

Ich habe nicht alle Vorträge gehört, aber bei den Security-Themen war ich dabei. Hier meine ganz persönlichen subjektiven und stark von Security Vorwissen gefärbten Eindrücke, die keinen Anspruch auf eine sachliche Beurteilung legen:

Industrial Firewalls – Funktionen und Einsatzmöglichkeiten, Ralf Kaptur, Hirschmann

Hirschmann hat ja eine eigene Firewall, Eagle, eigentlich Innominate Software, aber Hirschmann ist da zur Zeit wohl noch OEM, und die Möglichkeiten der Firewall sind im Detail vorgestellt worden. Nichts wirklich neues. Interessant war für Leute aus der Produktion vielleicht noch, dass die Firewall sowohl auf Layer 3 als auch Layer 2 funktioniert und wie man NAT in Produktionsumgebungen einsetzen kann und oft auch muss. Hirschmann verwendet dafür den Begriff Security Compartment. Für IT-Sicherheitsleute eher langweilig. Im großen und ganzen war der Vortrag eine Präsentation aus dem Security Whitepaper (PDF), das Hirschmann auch zum Download anbietet. Für die Eagle gibt es übrigens ein Security Data Sheet, da ging dann der nächste Vortrag drüber.

Management – Schritt für Schritt, Marcus Tangermann, Weidmüller

Die Weidmüller-Jungs haben ein paar sehr ambitionierte Ideen, die vermutlich grandios scheitern werden. Trotzdem ist das eine oder andere nicht schlecht, z.B. die Idee der Security Data Sheets (SDS). Jedes Gerät, jeder Controller, jeder Router etc. bekommt ein Data Sheet in dem die Security Parameter festgehalten werden. Dazu gehört z.B. welche Ports für den Betrieb benötigt werden etc. Mit den Informationen kann man ganz einfach dann eine Firewall einrichten. Dummerweise hat die Security Data Sheets die IAONA entwickelt, und die wickelt sich gerade selbst ab. Die Tools zur Erstellung des SDS kann man jedenfalls nur als Mitglied beziehen aber nicht mehr Mitglied werden. Sieht sehr nach Totgeburt aus, wenn da nicht bald was passiert. Angeblich macht die SecIE da zukünftig weiter, aber außer einem Aufnahmeantrag kann man eigentlich nichts bei denen runterladen. Das einzige Online-SDS das ich gefunden habe ist von WuT (PDF) , falls sich das jemand ankucken will.

Eine richtig krasser Totgeburt ist jedenfalls deren zweite Idee. Weidmüller lässt gerade eine Software entwickeln, da kann man irgendwie seine Firewall-Policy eintragen, und ein Regel-Generator bildet das dann auf eine konkrete Firewall ab. Die Hersteller sind dann aufgerufen, entsprechende Plugins für ihre Firewalls zu schreiben. Weidmüller ist wohl dabei und Hirschmann eventuell auch. Ich kann mir ja ganz toll vorstellen, dass Check Point oder Cisco nur auf so etwas gewartet haben. Am liebsten ist den großen Herstellern sicher, dass man damit auf ihre teure Management-Software verzichten könnte, oder dass die (sehr stark unterschiedlichen) Funktionen ihrer Firewall da irgendwie abgebildet werden müssen und das vielleicht auch noch gepflegt werden sollte. Nein Freunde, da macht kein namhafter Hersteller mit. Lediglich Hirschmann gewinnt, weil Innominate deren neue Management-Software nicht an Hirschmann lizenzieren will und Weidmüller die Entwicklungskosten trägt.

Firewalls in Industrie- und Produktionsumgebung, Dror-John Röcher, ERNW

Der Vortrag von Hr. Röcher klang von der Thematik her sehr spannend und Hr. Röcher ist auch ein guter Redner. Was dann kam hat mich allerdings schon enttäuscht. Ein bisschen ein Projektbericht, wie toll sie für einen großen Kunden Firewalls evaluiert haben. Dazu ganz kurz die Evaluationskriterien angerissen aber oft nur unzureichend begründet, warum z.B. bestimmte Kriterien als „must have“ ausgewählt wurden und andere nicht. Und anschließend die Firewalls aufgezählt und welche sie dann verwendet haben. Für jemanden der sich mit Firewalls ein wenig auskennt (und nicht nur eine oder zwei Produkte sondern wirklich gut) war das furchtbar langweilig und ohne echten Ergebnisgewinn.

Ganzheitliche IT-Sicherheit für Produktionsanlagen, Susanne Ginschel, Defense AG

Der Vortrag von Susanne war im Grunde der gleiche wie von der Systems. Wenig neues. Interessant fand ich lediglich die Einleitung. Die Defense hat da eine Excel-Tabelle entwickelt (oder lassen), mit der man anhand eines Fragebogens eine Übersicht des Geschäftsrisikos und des Sicherheitslevels abschätzen kann.Das ist als Einleitung für ein Informationsgespräch sicher ganz praktisch. Das war es aber auch schon.

Ich kenne so etwas ähnliches von IBM (NDA, darf ich nicht zeigen) und das BSI hat für Kritis etwas ähnliches entwickelt, rückt es aber nicht raus. (Das BSI hat aber hirnrissigerweise die Excel-Tabelle in Form eines PDF-Dokuments beschrieben. Anhand des PDFs kann man an einem Nachmittag die Excel-Tabelle rekonstruieren. Ich fürchte, da wiehert mal wieder der Amtsschimmel. Wer die Excel-Tabelle will, soll mir kurz eine Mail schicken.)

Podiumsdiskussion: Wer verantwortet eigentlich die Sicherheit in der Produktions-IT?

Nun ja, 6 Leute, 45 Minuten, jeder hat jeden bestätigt und sich indirekt selbst gelobt aber eigentlich hat das keine neuen Erkenntnisse gebracht. Ich denke, da ist der (vom kurzen Eindruck her) hervorragende Prof. Dr. Frithjof Klasen ein wenig verheizt worden. Dem hätte man lieber eine vernünftige Keynote gegeben.

Ach ja, mal gucken ob ich da nächstes Jahr wieder hinfahre. Wenn das Tech Forum wieder zwei Tage dauert, werde ich sicher nur einen Tag dabei sein. Das zieht sich einfach viel zu sehr und mit den Herstellern kann man auch an einem Tag reden.

So, hier der erste Teil zu meinem Besuch auf dem Konradin Tech Forum „Industrial Ethernet/Security“

Vorneweg ein wenig Lob:

Die Organisation von Konradin ist im allgemeinen gut. Außerdem hat Konradin ein unschlagbares Preis-/Leistungsverhältnis. Reguläre Teilnehmer zahlen 150,- Euro, ich hatte freundlicherweise eine Freikarte, da darf man sich nicht beschweren. Gut, die Kosten übernehmen vermutlich die ausstellenden Unternehmen, in der Regel als Sponsoren bezeichnet. Wenn ich das mit IIR vergleiche ist das sehr angenehm. IIR lässt sich auch von den beteiligten Unternehmen sponsern, nimmt von jedem Teilnehmer aber trotzdem noch 1895,- Euro, da schüttelt es mich.

Das Catering auf diesem Event war hervorragend, aber dafür ist die Lokation im Konferenzbereich des Millenium-Hotel in Stuttgart (genau da, wo die Musicals laufen) vermutlich auch teuer genug. Das Abendessen konnte man sich danach jedenfalls definitiv sparen, am Nachmittag haben die ersten schon gejammert: „Ach, schon wieder Essen“ 🙂

Die Veranstaltung selbst muss leider ein wenig Kritik abbekommen:

Zum einen ist das Programm viel zu gestreckt. Die komplette Agenda mit den zwei echten Vorträgen morgen noch und der Podiumsdiskussion hätte man etwas gestrafft locker in einem Tag unterbringen können. Dann halt um 9:00 Uhr anfangen und um 18:00 Uhr ist Ende. Das ziehen auf zwei Tage lässt zwar extrem viel Zeit für die Gespräche mit den anwesenden Herstellern, aber das ist mein zweiter Kritikpunkt.

Von den Big Playern in der Produktion war eigentlich nur Hirschmann da. Den Rest verorte ich jetzt aus meiner persönlichen Erfahrung mal in die Nischen. Ok, Weidmüller und Leoni-Kerpen oder meinetwegen auch Huber+Suhner sind schon groß, aber bieten halt nur einen Teil der in der Prozessautomation benötigten Produkte und Komponenten an. Hirschmann ist da noch der kompletteste Anbieter. Viele wichtige Player wie Siemens, Endess+Hauser, GE, aber auch z.B. die Lösungsanbieter wie Honeywell, ABB etc. waren leider nicht dabei.

Die Präsentationen zu den Vorträgen gab es teilweise auf Papier, teilweise demnächst dann irgendwann (versprochen ist in drei Wochen) zum Download auf der Webseite. Ich verstehe ja nicht ganz, warum man die Präsentationen aller Vortragenden nicht eine Woche vorher einfordern und den Teilnehmern auf CD-ROM mitgeben kann. So kenne ich das zumindest, wenn ich einen Vortrag auf so einer Veranstaltung halte.

Im Ergebnis saßen in den Vorträgen dann so ca. 40 Leute drin, plus vielleicht noch ein paar, die vor der Tür standen. Das war es aber dann auch schon. Wenn ich als Aussteller da ein paar Tausend Euro verballert hätte, wären das schon teure Kontakte.

Die Vorträge selbst waren im großen und ganzen ok. ERNW hat das ganze zwar massiv zum Selbstpromoting verwendet und die konkreten Informationen kamen etwas sehr kurz, aber damit kann ich leben. Dafür gab es von Weidmüller ein paar brauchbare Informationen und Hirschmann hatte cooles Material auf dem Stand ausliegen. Vielen Dank übrigens nochmal für den kleinen Löwen. Mehr dazu morgen wenn ich wieder zuhause bin.

Die Webseite von Bundeskanzlerin Frau Merkel wurde gehackt. Soviel zur IT-Kompetenz der Bundesregierung.

Wahrscheinlich war’s der Schäuble mit dem Bundestrojaner.

Wenigstens bin ich dabei auf folgende Satire gestoßen: „Kann es Politik ohne Lüge geben?
Meine Überzeugung ist: NEIN !“ 🙂

Das ist nicht so gut wie whitehouse.org aber immerhin.

Kaspersky gehört jetzt nicht gerade zu meinen bevorzugten Virenscannern, ich könnte aber noch nicht einmal genau sagen, warum. Ich bin halt mit F-Secure schon sehr zufrieden und F-Secure funktioniert schön effizient und ressourcenschonend auch auf unseren Terminalservern.

Trotzdem darf man ja mal über den Tellerrand hinausblicken und weil wir gerade beim Thema sind, Kaspersky hat auch ein Blog und kürt jeden Monat die Top 10 der Schadprogramme nach folgenden Kategorien:

• Greediest Trojan targeting banks
• Greediest Trojan targeting payment cards
• Greediest Trojan targeting e-payment systems
• Stealthiest malicious program
• Smallest malicious program
• Biggest malicious program
• Most malicious program
• Most common malicious program in email traffic
• Most common Trojan family
• Most common virus\worm family

Das klingt doch mal nach einer Herausforderung, oder? Aber Achtung, die Hürden sind hoch. Im April verwendete das versteckteste Programm 11 verschiedene EXE-Packer und das größte Schadprogramm umfasste 220 MB. 220 MB? Lässig 🙂

Ich habe mich ja schon ein paar mal gefragt, wo kann man Schadcode am besten in einem Windows System unterbringen, damit er beim Booten automatisch gestartet wird aber nicht zu sehr auffällt.

F-Secure hat uns jetzt freundlicherweise die Arbeit abgenommen und eine Liste der wichtigsten 10 Startpunkte für Schadprogramme zusammengestellt. Die Liste ist an sich wenig überraschend, an erster Stelle steht der berüchtigte „Run“-Schlüssel unter HKLM\Software\Microsoft\Windows\CurrentVersion. Aber die Idee mit dem SharedTaskSheduler oder Winlogon ist auch nicht schlecht.

Ich muss mal ein paar Erweiterungen für meine Schadprogramme schreiben 🙂

Patente auf Software sind ja inzwischen ein allgemeines Übel und das Europäische Parlament, vermutlich die größte Ansammlung von Menschen ohne jede Sachkenntnis, ist gerade dabei dem amerikanischen Irrweg nachzuhinken.

Unsere amerikanischen Freunde sind offensichtlich schon einen Schritt weiter. Dort gibt es jetzt eine Firma, die Patches patentieren lassen will. Golem schreibt dazu:

„Wer eine noch nicht veröffentlichte Schwachstelle in einer Software entdeckt, wendet sich im Geheimen an die Firma mit dem sprechenden Namen „Intellectual Weapons“. Zuerst wird die Schwachstelle verifiziert. Das Unternehmen prüft anschließend, ob die Entwicklung eines Patches und die Patentierung der dabei genutzten Verfahren möglich erscheint und ein geeignetes Mittel darstellt, Lizenzgebühren in nennenswerter Höhe zu kassieren.“

Äh ja. Das klingt wie eine absolut hirnrissige Idee, aber das amerikanische Patentsystem wird das schon durchwinken. Übel wird es vermutlich für den Verbraucher. Viele Hersteller rücken Updates und Patches jetzt schon nur gegen Cash raus, dieser Trend wird sich durch sowas natürlich verfestigen. Eigentlich sollte man dann konsequenterweise endlich auch die normale Produkthaftung auf Software anwenden.