Mitternachtshacking

Als Ergänzung zum Security Bullshit Bingo:

Das englische Original ist auf dem Gartner Security und Risk Management Blog erschieben.

Immer wieder interessant, wer sich alles berufen fühlt Sicherheitsanleitungen zur Verfügung zu stellen. Ich fange hier mal eine kurze Zusammenstellung an, vielleicht wächst die im Laufe der Zeit noch etwas. Wäre jedenfalls nicht schlecht. Kommentare sind selbstverständlich erwünscht.

Unix

• Linux Security
• Sun Solaris Security

Microsoft Windows

• Security Guidance
• Security Guidance for Windows 2000 Server
• Security Guidance for Windows XP
• Security Guidance for Windows Server 2003
• Windows Vista Security Guide
• Security Guidance for Office
• Security Guidance for ISA Server

Deutsche Behörden

• BSI IT-Grundschutz
• BSI Schutz kritischer Infrastrukturen
• BMI Nationaler Plan zum Schutz der Informationsinfrastrukturen

Europäische Union

• ENISA Publikationen

US-Administration

• NIST Computer Security Special Publications
  • 800-113 Guide to SSL VPNs
  • 800-98 Guidelines for Securing Radio Frequency Identification (RFID) Systems
  • 800-83 Guide to Malware Incident Prevention and Handling
  • 800-61 Computer Security Incident Handling Guide
  • 800-58 Security Considerations for Voice Over IP Systems
  • 800-42 Guideline on Network Security Testing
  • 800-41 Guidelines on Firewalls and Firewall Policy
  • 800-40 Creating a Patch and Vulnerability Management Program
• NSA Security Configuration Guides
  • Applications
  • Database Servers
  • Operating Systems
  • Routers
  • Supporting Documents
  • Switches
  • VoIP and IP Telephony
  • Vulnerability Technical Reports
  • Web Servers and Browsers
  • Wireless

Gibt es weitere wichtige Veröffentlichungen?

Update:  Aus den Kommentaren

• Berghels “Better-than-Nothing Security Practices™ for Securing Windows XP Professional”:
  http://berghel.net/btnsp/XP/index.php
• Auch noch einige nützliche Registry-Tweaks:
  http://www.microsoft.com/germany/technet/sicherheit/topics/serversecurity/tcg/tcgch00.mspx

ok, also ich habe eine dynamisch vom Provider vergebene IP-Adresse und möchte prüfen, mit welcher IP-Adresse ich offiziell irgendwo aufschlage. Was tun?

Es gibt natürlich die bekannten Dienste wie http://www.checkip.org/ oder http://checkip.dyndns.org/, die sich auch einfach automatisiert parsen lassen.

Oder man geht eben zu http://www.moanmyip.com/, da wird das ganze noch akustisch untermalt. Sehr nett 🙂

Ein Beitrag von der American Civil Liberties Union (ACLU)

The Monkey Cage

Start with a cage containing five monkeys. Inside the cage, hang a banana on a string and place a set of stairs underneath it. Before long, a monkey will go to the stairs and start to climb towards the banana. As soon as he touches the stairs, spray all of the other monkeys with cold water. After awhile, another monkey makes the attempt with the same result – all the other monkeys are sprayed with cold water. Pretty soon, when another monkey tries to climb the stairs, the other monkeys will prevent it.

Now, put away the cold water. Remove one monkey from the cage and replace that monkey with a new one. The new monkey sees the banana and wants to climb the stairs. To his surprise and horror, all the other monkeys attack him. After another attempt and another attack, he knows that if he tries to climb the stairs, he will be assaulted.

Next, remove another one of the original monkeys and replace it with a new one. The newcomer goes to the stairs and is attacked. the previous newcomer takes part in the punishment with enthusiasm! Likewise, replace a third original monkey with a new one, then a fourth, then the fifth.

Everytime the newest monkey takes to the stairs, he is attacked. Most of the monkeys that are beating him have no idea why they are not permitted to climb the stairs or why or why they are participating in the beating of the newest monkey. After replacing all of the original monkeys, none of the remaining monkeys have ever been sprayed with cold water. Nevertheless, no monkey ever again approaches the stairs to try for the banana.

Why not?

Because as far as they know, that’s the way it’s always been done around here.

And that, my friends, is how policy begins.

(via Security4all und Different River)

Das ganze Verfahren der EC-Karten mit PIN ist heute nicht mehr zeitgemäß und eigentlich komplett unsicher. Anscheinend haben das andere inzwischen auch bemerkt.

N-TV berichtet, dass die Verbraucherzentralen jetzt 74 Musterklagen gegen verschiedene Banken führen:

„Wir haben Fälle, bei denen bestohlene Bankkunden den Brief mit der PIN noch ungeöffnet bei sich zu Hause haben“, zitiert der Sender Verbraucherschützer Hartmut Strube. „Diese Fälle zeigen, dass es eine Möglichkeit geben muss, die PIN von Geldkarten zu ermitteln“

Ob da tatsächlich ein Bankmitarbeiter die PIN weitergegeben hat, die PIN aus der Karte errechnet wurde oder sie schlicht erraten werden konnte ist eigentlich irrelevant. Die Sicherheit des Systems ist ist jedenfalls schon lange nicht mehr gewährleistet und die Banken müssen endlich die Verantwortung dafür übernehmen.

Im Internetbanking sieht es nicht besser aus, wie Heise neulich wieder am Beispiel der SEB zeigen konnte. Nicht nur Heise und die Verbraucherschutzvereine fordern die längst fällige Umkehr der Beweislast. Aber bis das zum BGH durchgedrungen ist, werden vermutlich noch viele Kunden durch die mangelhafte Sicherheit einiger Banken geschädigt.

eben bei Sakana gefunden:

… wenn man des Nächtens durch plötzliches geschäftiges Treiben der Rechner im Nebenzimmer aufwacht, könnte man denken: „Ach, cronjobs…“ und beruhigt weiterschlafen. Statt dessen schreckt man auf: „ONLINEDURCHSUCHUNG!“

Reducing Shoulder-surfing by Using Gaze-based Password Entry

Authors:

Manu Kumar , Tal Garfinkel, Dan Bohen, Terri Winograd

Abstract:

Shoulder-surfing — using direct observation techniques, such as looking over someone’s shoulder, to get passwords, PINs and other sensitive personal information is a problem that has been difficult to overcome. When a user enters information using a keyboard, mouse, touch screen or any traditional input device, a malicious observer may be able to acquire the user’s password credentials. We present EyePassword, a system that mitigates the issues of shoulder surfing via a novel approach to user input. With EyePassword, a user enters sensitive input (password, PIN, etc.) by selecting from an on-screen keyboard using only the orientation of their pupils (i.e. the position of their gaze on screen), making eavesdropping by a malicious observer largely impractical. We present a number of design choices and discuss their effect on usability and security. We conducted user studies to evaluate the speed, accuracy and user acceptance of our approach. Our results demonstrate that gaze-based password entry requires marginal additional time over using a keyboard, error rates are similar to those of using a keyboard and subjects preferred the gaze-based password entry approach over traditional approaches.

(via Bruce Schneider)

Lustige Idee … wir starren auf den Bildschirm, bis das Passwort gefunden ist. Ich stelle mir gerade passende Brute Force Eye-Password Cracker vor … 🙂 Nur darf man dann nicht mehr koksen sonst wird das nichts mit dem Passwort-Fokus.

Teil 4: Die Welt Online

eine Zeitung der reaktionären Springer-Presse

• BKA soll per Internet verdächtige PCs durchsuchen (09.12.2006)
• Kriminalbeamte: Internet ist „Universität des Terrors“ (05.02.2007)
• Kommentar: Auch Hackerangriffe der Polizei brauchen klare Grenzen (05.02.2007)
• Große Koalition plant den „gläsernen Computer“ (05.02.2007)
• Bundesgerichtshof verbietet heimliche Computer-Ausspähung (05.02.2007)
• Schäuble fordert Gesetzesänderung für Online-Durchsuchungen (05.02.2007)
• Länderinnenminister streiten über Online-Durchsuchung (15.02.2007)
• Zypries verärgert die Sicherheitsbehörden (15.02.2007)
• Die geheimen Methoden der Staatshacker (15.02.2007)
• Verfassungsbeschwerde gegen Online-Durchsuchungen (02.03.2007)
• Schäuble ist nicht maßlos (03.04.2007)
• Nagel stützt Schäuble: Online-Durchsuchung erlauben (07.04.2007)
• Wie viel Überwachung darf es künftig sein? (18.04.2007)
• „Elektronischer Exhibitionismus“ (25.04.2007)
• Schilys brisantes Vermächtnis (27.04.2007)
• Schäuble stoppt Online-Durchsuchung (28.04.2007)
• „Nicht von der Verfassung verabschieden“ (07.05.2007)
• Das LKA und die falschen Online-Durchsuchungen (10.05.2007)
• Bayern dringt auf Eile bei Online-Überwachungen (13.05.2007)
• „Weg vom Misstrauen gegen den Staat“ (18.05.2007)
• Schäuble warnt vor Hacker-Großangriff (22.05.2007)
• Koalitionsrunde verhandelt über Online-Durchsuchung (19.06.2007)
• BKA muss auf Online-Durchsuchung verzichten (19.06.2007)
• Bundeskriminalamt muss weiter auf verdeckte Online-Durchsuchungen verzichten (20.06.2007)
• Schäuble will keine Rücksicht mehr nehmen (30.06.2007)
• Schäuble wird zum „Super-Schily“ (09.07.2007)
• Ein Plädoyer für die Online-Durchsuchung (10.07.2007)
• „Online-Durchsuchungen sind unverzichtbar“ (11.07.2007)
• Verfassungsschutz will Online-Zugriff (11.07.2007)
• Wolfgang Schäubles Gesetzentwurf steht (14.07.2007)
• Online-Razzia: Schäuble legt Entwurf vor (15.07.2007)
• Unermüdlicher Überzeugungstäter (17.07.2007)
• Schäuble soll Gesetzesentwürfe vorlegen (17.07.2007)
• Merkel nimmt Schäuble gegen Köhler in Schutz (17.07.2007)
• Der Computer als Feind (17.07.2007)
• Zypries bremst den Innenminister (18.07.2007)
• Warum sich Wolfgang Schäuble in der Sicherheitsdebatte falsch verstanden fühlt (22.07.2007)
• Schäuble und der Datenschützer (22.07.2007)
• Abschwellender Online-Furor (24.07.2007)
• Schäuble hält an Online-Durchsuchung fest (27.07.2007)
• Union wirft Zypries gezielte Falschmeldung vor (27.07.2007)
• Koalition streitet über Online-Razzien (28.07.2007)
• Online-Razzien: Schäuble lässt Kollegin Zypries dementieren (28.07.2007)
• Beckstein sieht Zypries als Sicherheitsrisiko (28.07.2007) – genau, der Beckstein, der auf den BKA-Trojaner reingefallen ist
• So funktionieren Online-Razzien in den USA (29.07.2007)
• Ohne Richter geht bislang gar nichts (30.07.2007)
• Wie Online-Durchsuchungen funktionieren (30.07.2007)
• Online-Durchsuchung auf die brachiale Art (03.08.2007)
• Kommentar: Die SPD verschafft dem Terror Spielräume (06.08.2007)
• Datenschützer warnt vor Verlust der Privatsphäre (10.08.2007)
• Kommentar: Nehmen wir in Kauf, dass etwas passiert? (13.08.2007)
• BKA-Chef kritisiert „Angstmacher-Diskussion“ (29.08.2007)
• Streit um Schäubles Pläne wird immer heftiger (30.08.2007)
• Kommentar: Die Kritiker der Elche … (30.08.2007)
• Terroristenjagd per E-Mail (30.08.2007)
• Scharfe Kritik an Schäubles Schnüffel-Plänen (30.08.2007)
• Online-Razzien auch ohne Richtererlaubnis (31.08.2007)
• Unbeirrt gegen die Terror-Gefahr (01.09.2007)

Der Springer-Verlag ist schon krass. Während alle seriösen Online-Medien in den letzten Tagen externe Experten (z.B. vom CCC) an Bord geholt haben und die Kritik am Vorgehen Schäubles von allen Seiten mit Ausnahme der CSU zunimmt, kommt kaum ein Wort der Kritik auf die Seiten des Springer-Verlags. Ich wusste ja, dass Springer unbeirrt hinter Schäuble her rollt, aber so extrem habe ich das nicht erwartet. Eigentlich sollte man die gar nicht verlinken.

Na gut, das kommt vor. Eigentlich ist das auch keine Nachricht wert. Ich hab’s zufällig bei The Register gelesen.

Aber es gibt ein Video auf YouTube bzw. hier die hochauflösende Fassung (17,1 MB .mov) von jemandem, der auf die Seite geklickt und die Malware analysiert hat:

Bei der Analyse werden zwei Tools verwendet:

• WRremote v.2
• Browser Helper Object v.3

Wo bitteschön finde ich die Tools?