Mitternachtshacking

Ich habe nicht die geringste Ahnung wie gut oder wie schlecht der Victorinox Secure USB-im-Taschenmesser-Stick abgesichert ist. Als regelmäßiger Flugpassagier habe ich für Taschenmesser auch nicht mehr so viel Verwendungszweck. Die Fummler am Flughafen nehmen einem die gerne mal ab. Und zu guter Letzt muß ich bei Victorinox immer an das Bild aus Asterix und der Arvernerschild denken, in dem Vercingetorix seine Waffen Cäsar auf die Füße knallt.

Was ich aber bei Bruce Schneier gelernt habe ist, daß ein Crypto-Wettbewerb mit der Aufgabe für eine Summe x (bei Victorinox sind das immerhin 100.000 Pfund) eine Verschlüsselung zu brechen kein Hinweis für gute Verschlüsselung sondern viel häufiger ein Hinweis auf Snake Oil Cryptography ist:

Warning Sign #9: Cracking contests: Contests are a terrible way to demonstrate security. A product/system/protocol/algorithm that has survived a contest unbroken is not obviously more trustworthy than one that has not been the subject of a contest. The best products/systems/protocols/algorithms available today have not been the subjects of any contests, and probably never will be. Contests generally don’t produce useful data.

Ob das alles jetzt für oder gegen Victorinox spricht, kann ich leider nicht beurteilen. Vielleicht wurde Victorinox auch nur von einer schlechten Marketingagentur beraten.

Foto: AskDaveTaylor, Lizenz: CC

Bruce Schneier hat einen sehr lesenswerten Artikel über die wirtschaftliche Bedeutung von Vendor Lock-Ins geschrieben.

“Wenn 100 Leute im Unternehmen Microsoft Office einsetzen, das pro Benutzer 500 USD kostet, dann wird das Unternehmen auf OpenOffice wechseln, wenn der Wechsel günstiger als 50.000 USD ist. Wenn der Wechsel teuerer als 50.000 USD ist, kann Microsoft die Preise erhöhen.”

Der komplette Text findet sich im Blog von Bruce und bei Wired.

Sein Fazit ist, daß mehr und mehr Sicherheitsfunktionen nicht mehr zum Schutz von Daten und Systemen sondern zum Schutz der wirtschaftlichen Abhängigkeit eingesetzt werden. Digitales Restriktionsmanagement (DRM) ist nur der Anfang.

Sicherheit gibt es nicht umsonst. Sicherheit, insbesondere IT-Security hat immer auch mit Tradeoffs zu tun. Auf der einen Seite erreichen wir mehr Sicherheit, auf der anderen Seite werden System teurer und für die Benutzer unbequemer oder schlechter zu nutzen. Das fängt mit einfachen aber längst akzeptierten Maßnahmen wie Firewalls an. Durch die Implementierung einer Firewall im Netzwerk werden bestimmte Protokolle verboten. Je restriktiver die Firewall, umso weniger Dienste können für Angriffe verwendet werden aber umso weniger Möglichkeiten bleibt den Anwendern, Internet-Dienste zu nutzen.

Gleichzeitig ist der Mensch anscheinend unendlich schlecht, das Risiko von Sicherheitsvorfällen angemessen einzuschätzen. Unsere Risikobewertung scheint immernoch auf den Erfahrungen kleiner Familiengruppen etwa 500.000 vor Christus im Hochland von Ostafrika zu basieren. Insbesondere fällt es uns schwer, die notwendigen Basiswerte korrekt zu bewerten:

• die Eintrittswahrscheinlichkeit von Sicherheitsvorfällen
• die Auswirkungen dieser Sicherheitsvorfälle
• die Kosten der Sicherheitsvorfälle und Gegenmaßnahmen
• die Wirksamkeit der Gegenmaßnahmen
• wir schlüssig Kosten aus Vorfällen und Gegenmaßnahmen verglichen werden können

Bruce Schneier hat in seinem Buch “Beyond Fear” ein paar typische Probleme aufgeführt, die weitgehend psychologisch erklärt werden können:

• Menschen neigen dazu, spektakuläre aber seltene Risiken zu übertreiben und alltägliche Risiken herunterzuspielen, beispielsweise Flugzeugabstürze im Vergleich zu Verkehrsunfällen
• Menschen haben Probleme damit, Risiken in Bereichen einzuschätzen, die nicht ihrem typischen Erfahrungshorizont entsprechen, beispielsweise Risiken in der Raumfahrt
• Genau identifizierte und beschreibbare Risiken werden höher eingeschätzt als anonyme Risiken
• Menschen unterschätzen Risiken, die sie bereit sind einzugehen und übertreiben Risiken in Situationen, die sie nicht kontrollieren können
• Menschen überschätzen Risiken, die täglich in den Medien thematisiert werden, beispielsweise die Gefahr von Terroranschlägen

Dazu gibt es eine schöne Tabelle von Bruce Schneier:

Wie viele Menschen erkranken aufgrund ihrer schlechten finanziellen Situation, weil sie sich keine gesunde Ernährung oder den Arztbesuch leisten können? Trotzdem scheint die Mehrheit der Bevölkerung in Deutschland lieber bereit, Geld für die Abwehr einer abstrakten Terrorgefahr auszugeben, anstatt die Situation der Menschen hier in Deutschland zu verbessern.

Vermutlich sollten wir den Entscheidungsträgern in Deutschland, sowohl in der Politik als auch in der IT-Sicherheit einen Psychologen als Hilfe beistellen.

Manchmal liest oder hört man von jemandem in der IT-Security und fragt sich, wie wohl das Gesicht dahinter aussieht. Bei einigen ist das ja sehr bekannt. Die Glatze von Bruce Schneier ist relativ bekannt, der Vollbart von Phil Zimmermann auch und über die Frisur von Richard Stallman mag ich keinen Kommentar verlieren.

Aber Dan Bernstein (djbdns) ist viel jünger, als ich gedacht habe, Wietse Venema (tcpd) will ich nicht im dunkeln begegnen und Lance Spitzer sieht man direkt an, daß sein Hauptauftraggeber das amerikanische Verteidigungsministerium ist.

Bei Bugtraq.ru gibt es die gesamte Fotogalerie.

Bruce Schneier und Marcus Ranum unterhalten sich über den Wert und Nutzen von Penetrationstests.

Die Position von Marcus Ranum ist offensichtlich gegen Penetrationstests:

“Pen-testing is a great idea; if you’re a pen-tester. Other than that, I think there are serious problems with the entire concept. The problem with pen testing is that it doesn’t actually measure what people want to believe it measures. Really, what you’re doing is paying a pen tester a hefty amount of money to see how good they are.”

Bruce Schneier sieht das anders und spricht in einem gewissen Rahmen für Penetrationstests:

“Penetration testing is a broad term. I like to restrict penetration testing to the most commonly exploited critical vulnerabilities, like those found on the SANS Top 20 list. There are two reasons why you might want to conduct a penetration test. One, you want to know whether a certain vulnerability is present because you’re going to fix it if it is. And two, you need a big, scary report to persuade your boss to spend more money.”

Meiner Meinung nach greifen beide zu kurz.

Penetrationstest != Vulnerability Assessments != Security Audit

Diese Begriffe darf man nicht durcheinanderwerfen, da sie unterschiedliche Zielsetzungen haben. In einem Penetrationstest werden Sicherheitslücken gesucht, verifiziert und bewertet sowie Lösungen angeboten. Ein Vulnerability Assessment zeigt anhand von Scans oder der Konfiguration theoretische Schwachstellen auf (die in einem Penetrationstest verifiziert werden können). Ein Security Audit verifiziert die vorhandene Konfiguration gegen einen Standard, ohne real nach Sicherheitslücken zu suchen.

Jede Infrastruktur ist angreifbar, ich denke das ist klar. Ein Penetrationstest zeigt, wo die Infrastruktur besonders angreifbar ist und der dringendste Handlungsbedarf besteht. Alles was kompromittiert werden kann ist eine echte Sicherheitslücke und nicht nur eine theoretische Bedrohung. Systeme, die die Penetrationstester links liegen lassen sind meistens so gut gesichert, daß der Aufwand nicht lohnt. Und schließlich kann geprüft werden, ob und wie die Angriffe erkannt wurden. Dort wo ein Angriff erfolgreich war und niemand ihn bemerkt hat, genau dort liegt das größte Risiko für das Unternehmen.

In diesem Sinne eingesetzt helfen Penetrationstests bei einem effizienten Einsatz der vorhandenen Mittel zur Absicherung der Infrastruktur.

Neal Stephenson gehört zu den wenigen Science Fiction Autoren, deren Bücher ich gerne lese, öfter lese und auch mal weiterempfehle, obwohl einges darin wahrscheinlich nur von IT-Freaks so ganz verstanden wird. Immerhin ist die Science Fiction so nahe an der aktuellen Realität, daß vieles davon schon recht wahrscheinlich klingt.

Das erste Buch, das ich von Stephenson gelesen hatte war Cryptonomicon. Es beschreibt in zwei Handlungssträngen einen amerikanischen Cryptoanalytiker im zweiten Weltkrieg, der in Ostasien gegen Japan kämpft sowie seinen Enkel, der versucht einen sicheren verschlüsselten Datenhafen zu schaffen. Sehr interssant ist auch, daß Bruce Schneier für dieses Buch ein Verschlüsselungsverfahren namens Solitaire entwickelt hat, das sich mit einem Satz Spielkarten ausführen läßt.

Das zweite Buch ist Snow Crash, in dem Hiro Protagonist, bester Schwertkämpfer im Metaversum, gegen eine Sekte kämpft, die einen Virus entdeckt hat der sowohl Menschen als auch Computer befallen kann. Faszinierend ist die Beschreibung der USA als Land, in dem sämtliche staatlichen Organisationen inkl. Polizei und Justiz privatisiert und an Franchise-Unternehmen vergeben sind.

Also Nerds, schnappt Euch ein Buch und raus in die Sonne

Die Jungs (und Mädels) von Tweakers.net haben einen Secustick von Sipal International zerlegt, der angeblich absolut sicheren USB-Speicher anbietet. Die Daten werden geschützt auf dem Stick abgelegt und nach mehrfacher falscher Passwort-Eingabe automatisch gelöscht … angeblich.

Mit ein wenig Fummeln und Debuggen am Stick, wie in diesem Artikel beschrieben, haben die Holländer den gesamten Schutz umgangen und sind auf einfachste (und reproduzierbare) Weise an alle geschützten Daten gekommen. Der Trick besteht einfach darin, in der Abfrageroutine des Passworts mit einem Debugger einen Breakpunkt zu setzen und dann den Rückgabewert für ein falsches Passwort auf den Wert für ein richtiges Passwort (1 statt 0) zu ändern.

“Normally, the amount of security is sufficient, not everyone has the technical expertise that you have”, said a spokesperson.

Für Bruce Schneier ist das ein typisches Beispiel für “Snake-Oil Security”. Ich finde, da hat er recht.

Gerade im Internet gefunden: Bruce Schneier Facts:

Sehr gut gefallen mir diese:

• Bruce Schneier once beat an asymmetric cipher into symmetry.
• Bruce Schneier’s secure handshake is so strong, you won’t be able to exchange keys with anyone else for days.
• When Bruce Schneier observes a quantum particle, it remains in the same state until he has finished observing it.
• For Bruce Schneier, SHA-1 is merely a compression algorithm.
• Bruce Schneier writes his books and essays by generating random alphanumeric text of an appropriate length and then decrypting it.
• Bruce Schneier is not only the man-in-the-middle, he’s at both ends and has wiretaps on Alice, Bob, Carol and Dave.
• Bruce Schneier can crack a one-time pad before it’s used.
• Bruce Schneier’s car is powered by Snake Oil instead of fossil fuels.

Für die weniger informierten Leser: Bruce Schneier ist der Autor von “Applied Cryptograph” und “Secrets and Lies”, außerdem der Entwickler der Verschlüsselungsalgorithmen Blowfish und Twofish. Die Bruce Schneier Facts sind im Stil der bekannteren Chuck Norris Facts geschrieben.