14. März 2010

Literatur zur Mitarbeitersensibilisierung gesucht

Category: Literatur,Work — Christian @ 13:18

Mich hat folgende Anfrage erreicht:

    Ich bin dabei eine Seminararbeit zum Thema Methoden und Konzepte zur Mitarbeitersensibilisierung schreiben. Nun meine Frage: Gibt es hierzu einschlägige und gute Literatur?

Ich tue mir da ein wenig schwer. Viel Material das ich verwende habe ich mir selbst ausgedacht oder ist im Rahmen von Projektarbeiten entstanden. Aktuell arbeite ich gerade wieder für und mit einem Kunden an mehreren Filmen, Fotostories und einer Plakataktion zur Mitarbeitersensibilisierung.

Mir fiel so spontan deshalb gar nicht viel ein (Reihenfolge ohne Wertung):

Das sind im großen und ganzen die Sachen die ich gelesen haben. Über Ergänzung in den Kommentaren würde ich mich freuen.

Voraussetzung zur Aufnahme in diese Liste ist natürlich, dass es sich um öffentliche, frei zugängliche und zitierfähige Dokumente sind. Irgendwelche Pressemitteilungen und Werbeflyer von Firmen helfen nicht weiter. Reine Firmenwerbung ohne Inhalte in den Kommentaren wird von mir deshalb auch nach Gutdünken gelöscht.

13. März 2010

iPhone bei Microsoft unerwünscht

Category: Politik — Christian @ 19:52

Ich mag das iPhone ja auch nicht, aber das ist wirklich lächerlich.

    „Zur selben Zeit beschränkte Microsoft seine Bestimmung für die Übernahme der Netzwerkbetreibergebühren für Mitarbeiterhandys ausdrücklich auf Endgeräte mit Windows Mobile beziehungsweise das Nachfolgerprodukt.“

Ich frage mich ob das nach deutschem Recht überhaupt zulässig ist …

Victorinox Snake Oil Crypto?

Category: Hacking,Produkte — Christian @ 19:01

Victorinox USB Stick

Ich habe nicht die geringste Ahnung wie gut oder wie schlecht der Victorinox Secure USB-im-Taschenmesser-Stick abgesichert ist. Als regelmäßiger Flugpassagier habe ich für Taschenmesser auch nicht mehr so viel Verwendungszweck. Die Fummler am Flughafen nehmen einem die gerne mal ab. Und zu guter Letzt muss ich bei Victorinox immer an das Bild aus Asterix und der Arvernerschild denken, in dem Vercingetorix seine Waffen Cäsar auf die Füße knallt.

Was ich aber bei Bruce Schneier gelernt habe ist, dass ein Crypto-Wettbewerb mit der Aufgabe für eine Summe x (bei Victorinox sind das immerhin 100.000 Pfund) eine Verschlüsselung zu brechen kein Hinweis für gute Verschlüsselung sondern viel häufiger ein Hinweis auf Snake Oil Cryptography ist:

    Warning Sign #9: Cracking contests: Contests are a terrible way to demonstrate security. A product/system/protocol/algorithm that has survived a contest unbroken is not obviously more trustworthy than one that has not been the subject of a contest. The best products/systems/protocols/algorithms available today have not been the subjects of any contests, and probably never will be. Contests generally don’t produce useful data.

Ob das alles jetzt für oder gegen Victorinox spricht, kann ich leider nicht beurteilen. Vielleicht wurde Victorinox auch nur von einer schlechten Marketingagentur beraten.

Foto: AskDaveTaylor, Lizenz: CC

12. März 2010

Gedanken zu Denial-of-Service

Category: Work — Christian @ 16:34

Ich überlege gerade für einen Freund, wie man eine Beschreibung von Denial-of-Service Angriffen (DDoS ist nur ein Randthema) und möglichen Gegenmaßnahmen sinnvoll gliedern kann. Meine Idee geht dazu, die verschiedenen Angriffsebenen als Gliederungspunkt heranzuziehen, weil man auf Netzwerkebene halt andere Gegenmaßnahmen hat und braucht als auf Anwendungsebene.

  1. Einleitung
  2. Definitionen
  3. DoS im Systembetrieb
    1. Redundante Netzverbindungen
    2. Redundante Stromversorgung
    3. Sonstige Hardware-Fehler
  4. DoS in der Netzwerkkommunikation
    1. DoS auf Layer 2 (ARP, …)
      Praktisch irrelevant, da Angreifer vor Ort sein müssten
    2. DoS auf Layer 3/4 (Smurf, Fraggle, Land, SYN-Flooding, …)
      Praktisch irrelevant, da von Firewalls zuverlässig erkannt und im OS gefixt (SYN-Flooding)
  5. DoS auf Betriebssystemebene
    1. OS resource exhaustion (RAM, CPU, …)
      Mehr eine Frage der Kapazitätsplanung
    2. Implementierungsprobleme
      Lösung könnte ein OS-Wechsel oder Stack-Tuning bringen
  6. DoS auf Anwendungsebene
    1. Application resource exhaustion (Memory Allocation, …)
      Programmierfehler, Code Analyse hilft
    2. Sonstige Fehler in Anwendungen
      Logikfehler, Concurrency, …
  7. DoS auf sonstigen Ebenen
    1. Benutzeraccounts blockieren
      DoS gegen Sicherheitsmaßnahmen
    2. Überlastung durch überraschendes Benutzerverhalten
      „Heise-DoS“, Frage der Kapazitätsplanung
  8. Distributed DoS
    1. DDoS auf Netzwerkebene
    2. DDoS auf Betriebssystemebene
    3. DDoS auf Anwendungsebene
  9. Gegenmaßnahmen
    1. Schutz auf Layer 2
    2. Schutz auf Layer 3/4
    3. Schutz auf Betriebssystemebene
    4. Schutz auf Anwendungsebene
  10. Kosten/Nutzen-Relation

Ist das sinnvoll? Habe ich was wichtiges vergessen?

Nachtrag:

Ideen von Tobias bereits eingearbeitet.

11. März 2010

Good Bye SecurityFocus

Category: Allgemein — Christian @ 22:21

Symantec schließt einen großen Teil von SecurityFocus und führt einige Inhalte in Symantec Connect über. Zumindest die Bugtraq-Mailingliste und die Vulnerability Datenbank sollen aber (vermutlich erstmal) erhalten bleiben.

Eigentlich habe ich darauf ja schon seit der Übernahme gewartet. Kaum war @stake bei Symantec sind die ganzen Tools wie LC (das ehemalige LophtCrack) verschwunden. So schnell konnte man gar nicht sichern wie Symantec da bereinigt hat. Nicht sehr freundlich, wenn man mich fragt. Andere Firmen (namentlich wären hier McAfee und Foundstone zu nennen) sind da etwas cooler.

Ich persönlich glaube ja, Symantec hätte SecurityFocus am liebsten schon direkt nach der Übernahme zugemacht. Insbesondere die öffentliche Schwachstellendatenbank mit den Exploits dürfte einigen Leuten bei Symantec ein Dorn im Auge sein. Aber vermutlich hat Symantec den öffentlichen Aufschrei gefürchtet. Ich bin ja mal gespannt wie lange es die Schwachstellendatenbank noch öffentlich und kostenlos gibt.

(via Heise)

Sind Handy-Botnetze die neue Mode?

Category: Hacking,Internet — Christian @ 18:52

Das ist fast schon so krass wie die Blackberry-Geschichte in den Vereinigten Arabischen Emiraten: Forscher von TippingPoint haben eine scheinbar nützliche Anwendung mit dem Namen „WeatherFist“ auf einem Portal zum Download und zur Installation auf Mobiltelefonen angeboten. Innerhalb von wenigen Stunden haben über 700 User die Anwendung heruntergeladen und installiert. Innerhalb einiger Tage waren es bereits 8000 infizierte Telefone. Neben der harmlosen Wetteranzeige hat die Anwendung nur den Standort des Telefons gemeldet, genauso einfach hätte man jedoch auch echten Schaden anrichten können. Erstaunlich, dass es bisher nicht mehr Schadanwendungen für Mobiltelefone gibt. Oder hat die nur noch niemand entdeckt?

Das Problem ist … was will man dagegen tun? Nur Anwendungen aus vertrauenswürdigen Quellen herunterladen? Aus dem iTunes Store für das iPfusch, aus dem Google Store für das Android und aus dem Ovi Store für Nokia? Und was, wenn es das benötigte da nicht gibt? Beispielsweise war Putty für das TouchUI eine der ersten Anwendungen die es auf mein neues Telefon geschafft haben. Inzwischen laufen da mehrere Tools, die nicht aus dem Ovi Store sind.

Das Problem wird sein, dass Virenscanner keine echte Chance haben, solche Anwendungen zu finden. Ja, es gibt für mein Mobiltelefon beispielsweise einen Schadcode-Scanner von Trend Micro und einen weiteren von F-Secure. Der von F-Secure ist sogar vorinstalliert. Ich wette, das hätte TippingPoint-Trojaner auch nicht erkannt. Dafür kostet der Adobe Reader 10,- Euro. Das ruft doch nur so nach infizierten Raubkopien. Und mit etwas Geschick kann man einen Trojaner immer so programmieren, dass der Virenscanner ihn nicht findet.

Lösungen? Tja, eine echte habe ich nicht. Nur signierte Anwendungen zuzulassen ist jedenfalls keine. Dann bekommt man ein Lock-in-Gerät wie mit dem iPfusch von Apple. Was ich mir für mein Telefon wünschen würde, wäre beispielsweise eine einfache Übersichtsseite, welche Anwendung auf welche Funktionen(GPS, Datenübertragung eingehend/ausgehend, welche IP-Adressen/Server, etc.) zugreift und eine Möglichkeit das (a) zu Beschränken und (b) zu Widerrufen. Das AccuWeather auf meinem Mobiltelefon fragt mich bei jedem Aufruf ob ich eine Netzverbindung erlauben will. Das ist zwar nett aber nervig. Ich würde das dieser Anwendung beispielsweise pauschal erlauben. Google Maps fragt mich nicht sondern greift einfach auf GPS und Datenverbindung zu. Ich wüsste nicht wie ich das verbieten kann. Andere Anwendungen haben mich bei der Installation einmal gefragt und fertig. Widerrufen ist nicht vorgesehen nur Deinstallation. Ich denke, da müssen die Mobiltelefonhersteller noch von den Desktopfirewallherstellern lernen.

Ach ja, weiß jemand zufällig ob es Truecrypt für das N97 mini gibt?

(Danke Sören)

10. März 2010

Random Stuff – 3

Category: Datenschutz,Politik — Christian @ 18:52

Patenttrolle? Bill Gates und Steve Jobs!

„Gates claimed right off that Microsoft „owned the office productivity market“ and Openoffice needed to pay the Vole lots of cash in royalties. Bill told Schwartz that he was happy to „get you under license“ so Sun would have to pay Microsoft for every download of Openoffice. However Schwartz was apparently ready for this and pointed out that .NET was clearly trampling all over a lot of Java patents.“

Die Rückkehr der Datenleichen

„Seit einigen Wochen geistert die Idee eines Datenbriefs durchs Internet und durch die Presse. Jeder Bürger soll einmal im Jahr von Behörden und Unternehmen informiert werden, welche Daten dort über ihn gespeichert sind.“ Und das kann unter Umständen interessante Folgen haben.

Der Bund der Deutschen Kriminalbeamten ist konsterniert

„Bemerkenswert an der Pressemeldung ist aber nicht nur die Schadenfreude, die sie erzeugt. Bemerkenswert ist die ehrliche Furcht ihres Autors, dass sich etwas ändert in Sachen Grundrechte, dass man der Polizei eben nicht mehr jeglichen erdenklichen Kredit schenkt. Es ist nicht nur Pressemeldungsbefindlichkeitsanzeige: Man ist wirklich konsterniert.

Der Adobe Reader ist die gefährdetste Anwendung

Category: Hacking,Work — Christian @ 13:05

F-Secure hat festgestellt, dass der Adobe Reader die gefährdetste Anwendung ist. Fast 49 Prozent aller Client-Side Angriffe richten sich gegen den Reader oder das Reader-Plugin im Browser. Auf Platz zwei mit rund 39 Prozent folgt Microsoft Word. Es wird also Zeit, über Alternativen nachzudenken. Mehr bei F-Secure.

(via The Register)

6. März 2010

Best Practice for Cleaning Up

Category: Hacking,Work — Christian @ 19:29

Nur kurz erwähnt: Google hat einen Beitrag „Best Practices for Verifying and Cleaning up a Compromised Site“ online gestellt.

Ein paar Tipps sind sicher hilfreich, ob ich meine Webseite aber deshalb unbedingt bei Google registrieren muss weiß ich nicht. Das alte „komplett löschen und vom letzten sicheren Backup wiederherstellen“ ist meiner Meinung nach immer noch die beste Methode.

5. März 2010

Wifi-Scanner nicht mehr auf dem iPhone

Category: Hacking,Produkte — Christian @ 19:16

Und was für das iPhone gilt, gilt auch für das iPad. Gleiches OS!

Soso, Apple hat die ganzen Wifi-Scanner aus dem iTunes Store verbannt. Weil die Scanner um auf Wireless LAN Signale z.B. von offenen Hotspots in der Nähe zugreifen zu können, ein paar private APIs benötigt haben, die Apple nicht für die gemeinen Plebs-Entwickler freigegeben hat. Für das iPhone ist mir das im Grunde ja egal, für ein iPad keinen Wifi-Scanner mehr zu haben ist … typisch Apple halt.

Wann gibt’s eigentlich endlich das HP Slate mit Windows 7 und Back Track Linux?