4. November 2007
Maskierte und bewaffnete Räuber haben das Rechenzentrum des US-Hosters C I Host gestürmt und diverse Server von C I sowie von Kunden mitgenommen. Laut Medienberichten ist das bereits der vierte Vorfall in nur zwei Jahren. Wenn man sich die Liste der Sicherheitsmaßnahmen anschaut, wundert man sich natürlich schon, wie solche Vorfälle passieren können. Andererseits wurde ein Mitarbeiter mit einer Waffe bedroht, gefesselt und niedergeschlagen, ich denke gegen bewaffnete Räuber würde sich in Deutschland auch kaum ein Hoster zur Wehr setzen können.
Interessant finde ich in diesem Zusammenhang die Reaktion des Hosters. Mehrere Kunden die Hardware und möglicherweise sensible Daten durch den Raub verloren haben, beschwerten sich, nicht informiert worden zu sein. Angeblich habe einem Kunden der Support erzählt, seine (geklauten) Server seien nicht erreichbar, weil ein Router defekt sei. Wenn das stimmt, wäre das ein Grund dieses Unternehmen auf die schwarze Liste der Firmen zu schreiben mit denen man nie wieder in Geschäftsbeziehungen treten möchte.
Andererseits bestätigt das mal wieder das Schichtenmodell aus dem BSI Grundschutz:
- Schicht 1: Übergreifende Aspekte
- Schicht 2: Infrastruktur
- Schicht 3: IT-Systeme
- Schicht 4: Netze
- Schicht 5: IT-Anwendungen
Es macht am Ende des Tages einfach wenig Sinn, Firewalls, Virenscanner und Intrusion Detection Systeme zum Schutz der Daten installiert zu haben, wenn die komplette Hardware mit allen Daten verschwindet. Das Absichern der Infrastruktur ist nun mal Voraussetzung für einen sicheren IT-Betrieb. Und, das betrifft nicht nur die Server selbst sondern natürlich auch Backup-Bänder die ebenfalls wichtige unternehmenskritische Daten enthalten.
Ein paar Beispiele:
Ich denke wir werden weitere Schlagzeilen in den nächsten Wochen und Monaten erleben.
3. November 2007
Ein nettes Gedankenspiel neulich während eines Workshops:
Aufgabe: Programme bzw. Schadcode unter Mithilfe eines internen Mitarbeiters an allen Sicherheitsvorkehrungen vorbeizuschleusen.
Problem: Nur E-Mail ist erlaubt, ein Virenscanner aktiv, Attachments außer PDF verboten. USB-Sticks und CD-ROM-Laufwerke sind abgeschaltet. Der Helfer im LAN hat nur den Acrobat Reader und Winzip zur Verfügung.
Meine Idee lässt sich wie folgt skizzieren:
- Man nehme ein nützliches Executable, z.B. nmap.exe
- Dieses Binary kodiert man mittels mimencode als Base64-File (-> nmap.b64)
- Das Base64-File lädt man in einen Texteditor, z.B. Word (-> nmap.doc)
- Aus dem Word-Dokument erzeugt man ein PDF (-> nmap.pdf)
Das PDF enthält jetzt reinen Text, kein embedded Executable oder sonstwas, notfalls kann man auch noch ein paar Leerzeilen manuell einfügen, um den Text zu maskieren. Kein mir bekannter Virenscanner schlägt an.
Das zurückkonvertieren ist ebenfalls recht einfach:
- Das PDF mit dem Acrobat Reader öffnen und „Datei -> als Text speichern“ (-> nmap.txt)
- Das daraus resultierende Textfile in file.b64 umbenennen
- Das Base64-File mit Winzip öffnen, wenn die Verknüpfungen passen mit Doppelklick
- Das darin befindliche File Unknown.001 extrahieren
- Das File Unknown.001 wieder in nmap.exe umbenennen
Das konvertieren in ein PDF ist etwas komplizierter, ich hab bisher auch kein mimencode für Windows gefunden. Das zurückkonvertieren ist jedoch so einfach, das kann ich sogar meiner Freundin einer Kollegin erklären.
Fertig 🙂
Die verschieden konvertierten Nmap-Versionen enthält dieses Zip-File, so kann das jeder selbst nachvollziehen. Ich habe mimencode verwendet, weil das Base64-Format im Gegensatz zum Beispiel zu uuencode keinen Header benötigt. Allerdings unterstützt nicht jedes Zip-Programm Base64.
Edit: Mist, meine Freundin liest mein Blog.
2. November 2007
Also man kann ja von JavaScript denken was man will, man kommt kaum noch darum herum. Wie viele Sprachen entwickelt sich folglich auch JavaScript weiter, als nächstes folgt die Version 4, aktuell als „ECMAScript 4th Edition“ in der Standardisierung.
Und jetzt wird es mal wieder lustig.
Die Spezialisten von „Embrace and Extend„, von proprietären Erweiterungen die nur einem Hersteller nutzen und allen Kunden schaden, genau dieser Hersteller jammert jetzt herum, dass ECMAScript 4 zu viele Erweiterungen enthalte. Die Taktik ist natürlich klar. Wenn ECMAScript 4 eine vollwertige Programmiersprache wird dann braucht es weniger proprietäre Ansätze wie C# etc., d.h. ein einzelner Hersteller kann nur verlieren während alle anderen gewinnen. Irgendwie erinnert mich das an OOXML …
Unabhängig davon … JavaScript ist echt eine Seuche. Inzwischen taucht der Dreck sogar schon in PDF auf und ich muss meinem Acrobat Reader mühsam beibringen, dass er kein JavaScript ausführen darf (und der verdammte Reader warnt bei jedem File mit einem verdammten Popup, weil JavaScript deaktiviert ist). Ich frag mich ja, wo noch so JavaScript drin ist wo eigentlich nichts drin sein sollte.
Was noch?
Ich fand heute folgenden Text in einer SMS:
„INFO vom CHATPROVIDER es wurde eine Nachricht,Foto gespeichert antworte mit JA oder Stop an die 0151 53148843 um diese abzurufen.. diese Nachricht ist kostenlos“
Absender: +4916096973270
Die Lösung ist einfach … die Bundesnetzagentur bietet hier zum Download ein Formular „Mitteilung über Rufnummernspam (PDF, 137 KB) an. Kurz ausgefüllt, hingefaxt, kostet nur ein paar Cent und das ist mir die Belästigung wert und fertig.
1. November 2007
Was für eine Überraschung … ISACA hat festgestellt, dass viele Mitarbeiter in den Unternehmen die Policies und Regelungen zur IT-Sicherheit schlicht ignorieren.
„More than 63 per cent were don’t really care about the security of their information while at work.“
Bin ich jetzt der einzige, den das nicht überrascht? Ich muss vielleicht doch mal einen größeren Abschnitt zu Awareness hier einstellen
(mehr hier oder hier)
