Mitternachtshacking

Eben gelesen:

„Isn’t that why we build DMZ networks with firewalls in front and behind them?  The point of doing that is so that it requires more than one server-side exploit to get into your organization.  Thanks to rich Internet client applications, it now only requires one client-side exploit to get into your organization.“

Die Bedrohungssituation hat sich für viele Firmen fast unbemerkt verschoben. Die Angriffe richten sich seltener gegen ihre Web-, Mail- und DNS-Server (obwohl Webapplikationen immer noch gerne kompromittiert werden) und statt dessen verstärkt gegen Clients, die im Internet surfen. Ein Client-Exploit im Browser eines Benutzers der mit lokalen Administratorrechten surft genügt, um die Sicherheit eines kompletten Unternehmens zu gefährden.

(von Dino A. Dai Zovi)

Ich schreibe schon seit geraumer Zeit davon, dass die Erkennungsraten der Virenscanner langsam aber sicher schlechter werden und wir irgendwann einen Paradigmenwechsel weg vom Blockieren von Schadsoftware hin zum Erlauben von guter Software benötigen. Vielleicht wird es jetzt langsam soweit. Immerhin scheinen die False Positives der diversen Virenscanner so schmerzhaft zu werden, dass das Internet Storm Center (ISC) eine National Software Reference Library (NSRL) mit rund 40 Millionen Programmen und ihren Hash-Werten zusammengestellt hat.

Und jetzt könnte Cloud-Scanning plötzlich Sinn machen. Vor jedem Aufruf eines Programms oder einer ausführbaren Datei verifiziert das Betriebssystem das Programm gegen die NSRL und wenn das Programm enthalten ist, dann wird es ausgeführt (und das Ergebnis gecacht). Wenn nicht, prüft eine einfache Heuristik ob das Programm möglicherweise Schadcode enthält. Ich könnte mir vorstellen, dass damit die Abhängigkeit der Virenscanner von Patternupdates sinkt. Allerdings enthält dieser Entwurf noch viele ungelöste Probleme, beispielsweise wie eine manipulationssichere Kommunikation mit der NSRL möglich ist (DNS kann leicht manipuliert werden, HTTPS ist sehr aufwendig) und wie verfahren werden soll, wenn die NSRL nicht verfügbar ist. Außerdem halte ich die teilweise verwendeten MD5-Hashes für nicht gerade vertrauenerweckend. Und natürlich hilft das ganze Verfahren nicht gegen Schadprogramme die sich z.B. in Office-Dokumenten oder PDF verstecken.

Aber mein Eindruck ist, Whitelisting kommt, wenn wohl auch erst in einigen Jahren. Für die nahe Zukunft wünsche ich mir jedenfalls, dass die NSRL direkt in das Betriebssystem integriert wird und von verschiedenen Virenscannern einfach genutzt werden kann. Für Linux sollte sich sowas einfach realisieren lassen. Und wenn die NSRL (digital signiert) auf dem System vorhanden ist, kann ClamAV oder jeder andere Scanner auf diese Daten zurückgreifen.

(via Heise)

Mir sind zufällig zwei Links sehr zeitnah in die Hände gefallen: die Top 25 Programmierfehler und die Top 25 Ausreden der Programmierer. Da lag es irgendwie nahe, aus diesen beiden Tabellen eine gemeinsame zu machen 😉

Und meine Vorhersage für 2010, 2011 und 2012: das wird sich nicht bessern!

Mein Security Kalender 2010 ist mit leichter Verspätung online aber im Januar war eh nicht viel zu erwarten. Falls ich Termine vergessen oder nicht im Netz gefunden habe, bitte entweder hier in die Kommentare oder mir per Mail schicken. Ich nehme die gerne mit auf.

Das kennen wir doch schon: Auf seriösen Webseiten werden nichtsahnende Benutzer durch bösartige Werbung mit Schadprogrammen infiziert. Dieses mal waren u.a. Golem.de, Zeit.de und Handelsblatt.de betroffen. Davor gerne auch mal Heise, die New York Times, The Register und andere.

Die Ursache für dieses wiederkehrende Problem findet sich an zwei Stellen:

1. Die Werbung wird nicht von den Servern der Redaktion ausgeliefert. Statt dessen enthalten die Seiten lediglich einen Verweis auf einen Server der typischerweise bei einem Werbevermarkter steht. Dies kann Google sein aber auch kleinere Vermarkter wie Falk eSolutions. Von dort wird die Werbung eingeblendet auf die die Redaktion nur eingeschränkt Einfluss hat. Wenn bei diesen Vermarktern etwas passiert ist immer direkt eine größere Anzahl von Webseiten mit einer Vielzahl von Benutzern betroffen.
2. Werbung bedient sich massiv dynamischer Inhalte wie Javascript und Flash, um die Aufmerksamkeit der Nutzer zu erlangen.  Würden nur statische Inhalte wie Bilder oder Texte ausgeliefert, wäre die Gefahr generell geringer.

Als Lösung für den Anwender lässt sich meiner Ansicht nach nur empfehlen, Werbung so konsequent wie möglich auszublenden und gar nicht erst zu laden. Adblock Plus im Firefox erledigt das recht zufriedenstellend und ist einfach genug auch für weniger technisch versierte Benutzer bedienbar. Leider können es sich die etablierten werbefinanzierten Online-Medien schlecht leisten, Werbeblocker zu empfehlen. Statt dessen gibt es bei Heise nur eine Anleitung wie man die unerwünschte Scareware wieder los wird. Wenn das Kind also erst einmal in den Brunnen gefallen ist.

Diesmal spamt mich M86 voll. Ich fürchte die haben meine Mailadresse durch die Übernahme von Finjan. Aber so schnell können die gar nicht gucken, wie sie bei mir auf der Sperrliste stehen.

Jedenfalls habe ich eine nette Mail bekommen auf der sich M86 berufen fühlt, Vorhersagen für das Jahr 2010 zu machen:

• Botnets Grow in Sophistication
• Continued Rise of Scareware
• Poisoning Search Engine Results
• Evolution of Web Site Infections
• Setting Sights on SaaS and Cloud Services
• Exploiting Third Party Applications
• International Domain Name Abuse
• Attacking Application Programming Interfaces
• URL Shortening Services Hide Nefarious Means

Das meiste davon ist 2009 schon da gewesen. Beispielsweise, dass Botnets immer cleverer werden. Einige nutzen bereits Social Websites oder Cloud Services um darüber das Botnet zu steuern. Scareware wird natürlich mehr, die Leute fallen schließlich auf jeden Blödsinn rein. Da gab es letztes Jahr auch genug Beispiele. Und so weiter, ich will das gar nicht alles kommentieren.

Im Grunde scheint es doch so zu sein: die Firmen die so Vorhersagen machen, gucken was wird den aktuell auf Security Konferenzen diskutiert und kann eventuell von eigenen Produkten eingedämmt werden und so macht man dann seine Vorhersagen. Ich würde z.B. auch vorhersagen können, dass Daten- und Identitätsdiebstahl in Social Networks zunehmen wird. Oder, dass die Britischen Behörden weiterhin Unmengen von Daten verlieren. Oder, dass Cloud-Serviceanbieter zukünftig vermehrt in den Fokus von DDoS-Schutzgelderpressern geraten. Aber für keine dieser drei Vorhersagen kann ich ein Produkt anbieten. Und schlechter als die Vorhersagen von Frank Rieger auf dem 26C3 sind die auch nicht.

InsidePro stellt im Internet einen Hash Generator zur Verfügung, der für einen eingegebenen String eine große Zahl unterschiedlicher Hashes berechnet. Passwörter würde ich da nicht hashen lassen aber um bei einem vorhandenen Hash beispielsweise abschätzen zu können, welcher Algorithmus eventuell verwendet wurde ist die Seite recht praktisch.

In Belgien, genaugenommen in Evere, findet vom 18.-19.09. die erste BruCON, eine belgische Securitykonferenz statt. Bisher konnte man die Belgier immer auf der Hack.Lu in Luxemburg treffen, das scheint erstmal vorbei zu sein. Ich bin gespannt, wie sich die BruCON als Konkurrenz für die Luxemburger auswirkt. Immerhin findet sie einen Monat vorher statt und kann daher schon ein paar Interessenten abziehen.

da isses.

(via Heise)

Der Versuch einer Gliederung. Hab ich was wichtiges vergessen? Oder würde man das anders gliedern?

Klar, VPN oder IPS ordnen viele Hersteller bei Firewalls mit ein, weil die Produkte auf dem Markt das integrieren. Desktop Clients bieten inzwischen auch Virenscanner, Intrusion Detection, Personal Firewall und Plattenverschlüsselung in einem an.  Ich möchte aber nach technischen Verfahren gliedern und da ist Firewall halt was anderes als Verschlüsselung als Virenscanner.

• Authentisierung
  • Passwörter
  • Einmalpasswörter
    • Zeitsynchronisierte Token
    • Eventsynchronisierte Token
  • Zertifikate
    • Digitale Signaturen
    • Chipkarten/SmartCards
    • USB Zertifikatsspeicher
  • Biometrische Verfahren
• Netzwerksicherheit
  • Firewall
    • Access Control Lists (ACL)
    • Proxy-Server
    • Stateful Filtering
  • Network Access Control (NAC/NAP/UAC)
  • VLAN Sicherheit
  • Wireless LAN
    • Wired Equivalent Privacy (WEP)
    • Wifi Protected Access (WPA, WPA2)
• Verschlüsselung
  • Virtual Private Networks (VPN)
    • IPSec
    • SSL-VPN
  • E-Mail
    • PGP/OpenPGP
    • S/MIME
  • Dateiverschlüsselung
  • Festplattenverschlüsselung
  • Steganografie
• Content Security
  • Antivirus (AV)
  • Antispam
    • Real-Time Blocklisten (RBL)
    • Reputation-Listen
    • Bayes’sche Filter
  • URL-Filter
  • Antispyware
  • Data Leak Protection (DLP)
• Monitoring/Überwachung
  • Security Information and Event Monitoring (SIEM)
  • Vulnerability Tracking
  • Intrusion Detection / Prevention
    • Host-basierte Intrusion Detection (HIDS)
    • Netzwerk-basierte Intrusion Detection (NIDS)
    • Intrusion Prevention (IPS)
    • Honeypots
• Datensicherung
  • Backup
  • Archivierung
  • Dokumentenmanagement
• Systemsicherheit
  • System Hardening
  • Patchmanagement
• Hochverfügbarkeit
  • USV/Notstromversorgung
  • Clustering
• Compliance / IT-Governance
  • Auditierung
    • IDW PS 330
    • ISO 27001
    • BSI Grundschutz
    • Payment Card Industry Data Security Standard (PCI)
• Penetration Testing
  • Externe/Interne Penetrationstests
  • Code Review
  • Social Engineering
• Social Security
  • Mitarbeitersensibilisierung
  • Schulung

Ach ja, Physical Security habe ich bewußt weggelassen.