Mitternachtshacking

PRISMA = Program Review for Information Security Management Assistance

Das US NIST Computer Security Resource Center hat für US-Behörden ein neues Programm namens PRISMA ins Leben gerufen. Dabei soll die Sicherheit von IT-Systemen bewertet werden. Die Kernidee ist ein sogenannter Maturity Level, der aussagt wie weit Security bereits in einzelne Bereiche vorgedrungen ist:

• Maturity Level 1: Policies
• Maturity Level 2: Procedures
• Maturity Level 3: Implementation
• Maturity Level 4: Testing
• Maturity Level 5: Integration

Das ganze wird mit einer netten Datenbank begleitet und bietet ein paar hübsche Informationen. In Summe gibt es einen Haufen von Fragen die zu beantworten sind, und wenn alles ok ist, dann ist dieser Bereich im Unternehmen „compliant“ und grün, wenn ein paar Sachen gemacht wurden, aber nicht alle, dann ist dieser Bereich „partially compliant“ und gelb, und wenn nichts gemacht wurde, dann ist das natürlich „non compliant“ und rot. Durch die einfachen Fragen dürfte es in der Praxis schnell zu Ergebnissen kommen.

Ich werde mir das mal genauer anschauen und dann darüber berichten .

Es gibt ein neues Check Point Buch!

Ja, ich weiß. Das Check Point Buch von Matthias Leu und Bernd Ochsmann ist schon seit zwei Monaten verfügbar und ich bin spät dran mit diesem Eintrag, aber das meine ich gar nicht. Statt dessen erscheint demnächst dieses Buch:

Check Point VPN-1 Power, Das umfassende Handbuch
Yasushi Kono
Galileo Computing, Juli 2007
ISBN 978-3-89842-897-2

Braucht es ein zweites Check Point Buch? Ich denke ja. Das Buch von Matthias Leu hat den Anspruch, das Referenzwerk schlechthin zu sein. Das Problem mit einem Referenzwerk ist leider, dass die Praxisnähe oft verloren geht. Die Funktionen der Firewall werden möglichst umfassend und vollständig aufgeführt, allerdings ohne sie für den Anwender ausreichend zu bewerten und praxisnahe Empfehlungen zur Umsetzung zu geben. Dieses Defizit behebt Yasushi Kono.

Sein Buch führt längst nicht alle Parameter und Einstellungen auf. Dafür gibt es viele Tipps und Empfehlungen aus der langjährigen Erfahrung und diversen Kundenprojekte. Sehr erfreulich ist der Blick über den Tellerrand. Check Point auf Nokia wird berücksichtigt, Provider-1 wird angesprochen, Integrity beschrieben und sogar die Installation eines RSA Authentication Manager ist enthalten. Besonders gefällt mir das Troubleshooting-Kapitel, in dem typische Probleme angesprochen und Lösungen angeboten werden. Im Grunde eine hilfreiche Auswahl der Secure Knowledgebase auf Papier.

Das Buch erscheint im Juli, ich hatte die Ehre und Freude, das Buch inhaltlich Korrektur zu lesen und den einen oder anderen Tipp zu geben. Und es gefällt mir wirklich sehr gut.

Das ZDF hat ein paar der Abenteuer von Ijon Tichy verfilmt.

Für die Banausen: Ijon Tichy, Weltraumfahrer, ist die Hauptfigur der Sterntagebücher von Stanislaw Lem. Und der wiederum gehört zu meinen Lieblingsautoren.

Meine Lieblingsepisode mit den relativistischen Effekten ist auch dabei und man kann sich die Kurzfilme als Videostream ankucken.

Unglaublich, Microsoft hat tatsächlich gelegentlich sogar brauchbare Informationen auf ihrer Webseite. Gut, der Untertitel „Verbessern Sie Ihr Netzwerk mit Microsoft Technologien“ ist offensichtlich als Gag gemeint. Aber der Rest ist echt empfehlenswert.

Der Cable Guy erklärt jeden Monat einen Dienst oder ein Protokoll im Netzwerk und in der Regel so, dass man das gut verstehen kann. Die meisten Artikel sind leider Vista Werbung, aber ab und zu ist eine echte Perle dabei.

Ich war auf der Suche nach der Explicit Congestion Notification (ECN) Erweiterung von TCP/IP. Nmap verwendet das als eine der Methoden zum OS Fingerprinting. Beschrieben wird ECN in RFC 3168, erklärt jedoch nicht. Eine brauchbare Beschreibung hatte freundlicherweise der Beitrag von Oktober 2006.

Weitere interessante Themen sind IPv6, hier gibt es eine Vielzahl von Erklärungen sowie diverse Beiträge zu Wireless LAN. Am besten einfach mal durch die Themen stöbern und in die interessant klingenden Artikel reinschnuppern. Ich kann das sehr empfehlen.

Marc hat sich gemeldet, nachdem ich sein neues Buch erwähnt hatte:

Handbuch Penetration Testing
von Marc Ruef
C & L Computer- u. Literaturverlag
ISBN-10: 3936546495
ISBN-13: 978-3936546491

Marc schreibt über sein Buch:

„Ich habe den Hang entwickelt, Dinge sehr eigenwillig lösen zu wollen. Das zieht sich durch das ganze Buch. So diskutiere ich in einem Kapitel die Analyse von Firewall-Regelwerken auf dem Papier. Gerade wenn man wirklich formal festlegen muss, ob eine Installation optimal ist, kann sowas nützlich sein. Zu diesem Thema habe ich bei meinen Recherchen aber praktisch nichts gefunden… Eine solche Betrachtung ist aber eine ausgezeichnete Grundlage, muss man in einem nächsten Schritt ein echtes Exploiting-Szenario durchspielen. Anhand der formalen Analyse kann man nämlich dann viele Techniken gleich mal wieder verwerfen und sich auf die nützlichen Mechanismen fokussieren. Mein kleines Buechlein ist zu grossen Teilen sehr technisch. Kein TCP-Segment, das über das Netzwerk gejagt wird, kommt ohne Besprechung der einzelnen Bits davon 😉 ! Der Titel hätte also auch „Volle Kontrolle“ heissen können 😉 !“

Auch wenn Amazon bereits Vorbestellungen annimmt, liebe Leute, geht doch mal zu Eurem lokalen Buchhändler und bestellt es da. Meistens ist der Service klasse, oft kann man Bücher zur Ansicht bestellen und manchmal findet man auch überraschend Bücher, die man gar nicht auf dem Radar hatte. Leider verschwinden die Buchhandlungen zuerst, wenn es den Leuten schlechter geht …

Neal Stephenson gehört zu den wenigen Science Fiction Autoren, deren Bücher ich gerne lese, öfter lese und auch mal weiterempfehle, obwohl einges darin wahrscheinlich nur von IT-Freaks so ganz verstanden wird. Immerhin ist die Science Fiction so nahe an der aktuellen Realität, dass vieles davon schon recht wahrscheinlich klingt.

Das erste Buch, das ich von Stephenson gelesen hatte war Cryptonomicon. Es beschreibt in zwei Handlungssträngen einen amerikanischen Cryptoanalytiker im zweiten Weltkrieg, der in Ostasien gegen Japan kämpft sowie seinen Enkel, der versucht einen sicheren verschlüsselten Datenhafen zu schaffen. Sehr interessant ist auch, dass Bruce Schneier für dieses Buch ein Verschlüsselungsverfahren namens Solitaire entwickelt hat, das sich mit einem Satz Spielkarten ausführen lässt.

Das zweite Buch ist Snow Crash, in dem Hiro Protagonist, bester Schwertkämpfer im Metaversum, gegen eine Sekte kämpft, die einen Virus entdeckt hat der sowohl Menschen als auch Computer befallen kann. Faszinierend ist die Beschreibung der USA als Land, in dem sämtliche staatlichen Organisationen inkl. Polizei und Justiz privatisiert und an Franchise-Unternehmen vergeben sind.

Also Nerds, schnappt Euch ein Buch und raus in die Sonne 🙂

Für Präsentationen oder Vorträge brauche ich immer wieder Hintergrundmaterial oder ergänzende Informationen, die wenn möglich aus einer zitierfähigen Quelle stammen sollten. Wikipedia scheidet damit meistens aus, weil sich Artikel zu schnell verändern und Wikipedia generell als Zitatquelle nicht wissenschaftlich anerkannt ist.

Die meisten Hacker- und Securityseiten haben das gleiche Problem. Die Informationen sind zwar oft ganz brauchbar, Seiten die heute existieren gibt es aber morgen nicht mehr, Firmen werden übernommen und Mitarbeiter wechseln manchmal sehr schnell den Arbeitgeber.

Eine der wenigen brauchbaren Konstanten ist das Reading Room des SANS Institute. Die Informationen dort, aktuell etwa 1500 Dokumente in über 70 Kategorie, decken oft alles ab, was ich brauche. Viele der Dokumente sind von namhaften Autoren geschrieben und liefern daher immer wieder auch hochwertige Zusatzinformationen, die mir vorher nicht bekannt waren.

Und nicht zu vergessen, das SANS Institute verwaltet auch die Liste der Top 20 Sicherheitslücken im Internet.

Im April erscheinen ein paar neue Bücher zur IT-Sicherheitsthematik, die folgenden sind mir dabei aufgefallen:

Handbuch Penetration Testing
von Marc Ruef
C & L Computer- u. Literaturverlag
ISBN-10: 3936546495
ISBN-13: 978-3936546491

Das Vorwort hat Max Moser geschrieben, könnte also interessant sein. Ich bin gespannt, wie Marc da den Schwerpunkt setzt. Zum Thema Hacking gibt es schon genug Bücher, das Hacking Exposed Standardwerk ist mir persönlich immer noch am liebsten. Zum Absichern der Systeme gibt es auch Bücher wie Sand am Meer und für die Penetrationstest-Methoden kann man auf OSSTMM oder die BSI Penteststudie verweisen. Mal sehen, was dann noch übrigbleibt.

Die Linux Security Box
Ralf Spenneberg
Addison Wesley
ISBN-13: 978-3827325211

Ralf kenne ich von ein paar Vorträgen, das ist jemand der Ahnung hat von dem was er schreibt. Und mit 1600 Seiten könnte das (wenn es gut ist) zum Referenzwerk werden. Ich hoffe, da ist auch was zu Xen mit dabei, weil die Xen-Virtualisierung in aktuellen Linux-Distributionen ist gerade der ganz große Hype. Und da kann man viel falsch machen.

Und dann ist für Juni noch eine Neuauflage angekündigt:

Hacken für Dummies
von Oliver Rochford
Wiley Verlag
ISBN-13: 978-3527703524

Ob man das Buch wirklich braucht, wage ich ja zu bezweifeln. Aber man trifft halt immer wieder so Leute, die man besser nicht an Computer ranlassen sollte. Für die ist auch der Untertitel „hier geht es nicht um Holz“ notwendig. Und genau die kommen dann immer mit: „kannst mir mal zeigen, wie das Hacken geht“. Ich glaube ich schenke das Buch meiner Freundin zum Geburtstag 🙂