Mitternachtshacking

Ich war vor einiger Zeit bei einem potentiellen Kunden. Besprechung zum generellen Thema IT-Sicherheit mit Industriespionage im speziellen. Am Empfang wurde ich gebeten, schon mal in einen Besprechungsraum zu gehen. Meine Gesprächspartner würden in ein paar Minuten eintreffen.

Ich habe mich schon ein wenig geärgert, weil ich ausgerechnet an diesem Tag kein einziges Patchkabel dabei hatte und gerne noch schnell geprüft hätte, ob die Netzwerkdosen im Besprechungsraum Zugang zum LAN ermöglichen. Das ist … naja … nicht immer ganz in Ordnung aber hätte mir in dieser Situation einen guten Einstieg verschafft.

Als ich dann jedoch in den Besprechungsraum gekommen bin, musste ich schmunzeln:

Zum Glück habe ich fast immer eine Kamera dabei. Die Kabel waren übrigens alle gepatcht, keine Portsecurity, kein MAC-Filter, DHCP aktiv.

😉

„Cost Risk Assessment (CRA) is a term used to describe a broad program of risk based assessment being conducted within Washington State Department of Transportation. CRA is also a term that describes a workshop process similar but less intense than a Cost Estimate Validation Process (CEVP). Risk Management is an integral part of the WSDOT Project Management Process.“

Und das vom Washington State Department of Transportation. Das muss ich mir mal genauer anschauen.

Ich suche übrigens immer noch eine/n Programmierer/in, der Assembler, C und Python beherrscht 🙁

Nachtrag:

Jetzt nicht mehr.

Firewall-Appliances sind schon seit geraumer Zeit der Renner, niemand kauft mehr eine Firewall-Software die dann auf einem Standardbetriebssystem installiert wird. Gehärtete Betriebssystemvarianten (meist Linux) sind ok, aber dann möchte man auch nicht viel mit der Konfiguration und dem Update des Betriebssystems zu tun haben. Check Point dagegen sah sich lange Zeit als reiner Software-Hersteller und hat das Appliance-Geschäft Partnern überlassen. Beispielsweise gab es Check Point auf IBM, auf Dell-Hardware, kurzzeitig sogar auf Pyramid Appliances …

Inzwischen hat Check Point eingesehen, dass es ohne eigene Hardware nicht geht. Als ersten Schritt hat Check Point die ehemalige Ericcsson-Tochter Sofaware gekauft und daraus die Edge-Appliances geformt. Danach hat Check Point zuerst mit der UTM-1 und später mit der Power-1 eigene Hardware an den Start gebracht. SecurePlatform, das Linux-basierte gehärtete eigene Betriebssystem gibt es ja schon seit geraumer Zeit als „Software-Appliance“.

Gleichzeitig hat Check Point mit der eigenen Hardware jedoch den Appliance-Partnern das Leben schwer gemacht. Ich kenne mehrere Unternehmen, denen die Kosten für Nokia einfach zu hoch wurden und die statt dessen auf Standard-Server mit SecurePlatform wechselten oder gleich zu einer UTM-1, die mit einem (für Check Point) günstigen Bundle-Preis aus Hardware und Software kommt. Der ehemals eigenständige Geschäftsbereich Nokia Internet Communications ist schon vor Jahren dem Bereich Nokia Networks zugeschlagen worden, eine große Zahl der damaligen Nokia-Mitarbeiter hat das Unternehmen inzwischen verlassen.

Konsequenterweise hat Nokia diesen Geschäftszweig jetzt an Check Point verkauft. Ich bin mir sicher, Nokia ist froh diesen Bereich los zu sein, die Gewinne dürften in den letzten Jahren deutlich eingebrochen sein. Allerdings ist mir nicht 100% klar, warum sich Check Point dieses Geschäft ans Bein bindet. Ok, es gibt eine breite Basis installierter Check Point Lizenzen auf Nokia, die Check Point nicht verlieren will. Allerdings wäre es sicher auch denkbar gewesen, diese Kunden auf die Power-1 Appliance zu hieven.

Statt dessen hat Check Point jetzt drei verschiedene Appliance-Typen am Hals:

• Sofaware Edge, die mit einer Firmware ausgestattet sind, die nichts mit der normalen FireWall-1 Software zu tun hat. Insbesondere läuft auf der Edge nicht das gewohnte FireWall-1 Kernel-Modul, das den Firewall-Bytecode in einer VM interpretiert.
• Check Point UTM-1/Power-1 mit SecurePlatform, Linux-basierte Appliances die Check Point aktuell von einem 2.4.22 auf einen aktuellen 2.6.x Kernel umstellt, weil es inzwischen wohl mehr und mehr Probleme mit Treibern für aktuelle Hardware gibt.
• Check Point Nokia, mit dem ursprünglich FreeBSD-basierten IPSO, das sich grundsätzlich anders als Linux verhält, mit eigner Weboberfläche (Voyager) und eigener zentraler Verwaltungssoftware (HorizonManager).

Ich bin gespannt, wie Check Point das zusammenführen will.

Eine Abkehr von SecurePlatform dürfte nicht möglich sein. Ansonsten wird Check Point nur noch Appliances anbieten können, da für IPSO keine Treiber für allgemeine Server Hardware vorhanden ist. Andererseits enthält IPSO einen eigenen Routing-Dämon, SecurePlatform könnte in Zukunft auf den Gate-Dämon verzichten.

Meine persönliche Meinung ist, dass Check Point das Nokia-Geschäft für nen Apple und ’n Ei günstig in der Rezession erworben hat um Zugriff auf die Kundendatenbank von Nokia zu erhalten. Die Kunden werden mittelfristig von der Nokia Hardware mit IPSO auf die Check Point Appliances mit SecurePlatform umgestellt und IPSO wird sterben. Und da Check Point jetzt die Kontrolle über die Nokia Appliance-Entwicklung hat, kann diese Migration ganz nach den Vorstellungen Check Points gesteuert werden.

Nachtrag:

Aber schön, wie in der Pressemitteilung nochmal die alten Slogans ausgegraben werden, beispielsweise „best-of-breed solution“ oder „First Call – Final Resolution“. Nur der Slogan „The Power of Two“ fehlt … aber der ist ja nun auch nicht mehr aktuell.

(via The Register)

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Kleiner Test: einfach mal den Eicar-String in den RSS-Feed kopieren. Falls ein Virenscanner anschlägt würde ich mich über Rückmeldung freuen. Eigentlich sollte darauf kein einziger Scanner reagieren. Aber man weiß ja nie …

Tja … das ist mein VPN-Client, lieber Virenscanner

Aber macht ja nix … wenigstens ist es kein wichtiges Windows Programm.

(und das sind nur die Meldungen von Oktober und November 2008 🙁 seufz)

Nachtrag:

Der Fehler wurde mit dem nächsten Update behoben … aber täusche ich mich oder häufen sich die Probleme mit Virenscannern tatsächlich die letzten Jahre deutlich?

Secunia hat die erste Statistik zur Aktualität von Software auf Windows-Rechnern veröffentlicht. Ganze 2% aller mit dem Personal Software Inspector untersuchten Systeme sind auf einem aktuellen und sicheren Stand.

Nuja, das sind im Grunde sogar noch 1,5% mehr als ich persönlich erwartet hätte und die Tendenz zeigt vermutlich, dass es zukünftig noch weniger Systeme werden.

Patchmanagement ist meiner Meinung nach ja die zweite Defense-in-Depth Technologie nach Antivirus, die uns in den nächsten Jahren um die Ohren fliegen wird.

Benötigte Kenntnisse:

• Assembler für x86
• Programmiersprachen C und C++
• Compiler VisualC und GCC
• Source Code Analyse in C und C++
• Fehleranalyse von Binärprogrammen
• Debugger (IDA Pro, OllyDbg)
• Python

Gewünschte Kenntnisse:

• Assembler (Sparc, PowerPC)
• Skriptsprachen (Perl, PHP)

Wer mich kennt, weiß wofür … die anderen dürfen gerne Fragen 🙂

Ach ja: Festeinstellung möglich.

Ein Bild von heute im Hotel. An einer Glasscheibe die den Besprechungsraum von einem schmalen Gang trennte hingen eine Vielzahl von Flipchart-Blättern mit Strategieplanungen eines bekannten Spielzeugherstellers. Das Foto habe ich von hinten durch die Glasscheibe mit einer ganz billigen Digitalkamera gemacht und dann gespiegelt.

Die Qualität ist natürlich unter aller Sau, das Originalfoto lässt sich aber recht gut nachbearbeiten. Viele der Texte kann man so entziffern. Ein wenig Sensibilisierung bei geschäftskritischen Themen wäre schon manchmal wünschenswert.

Eigentlich war das ja nur eine Frage der Zeit und ich predige das Thema schon seit drei Jahren auf meinen diversen Vorträgen. Jetzt ist es endlich soweit.

Nessus hat ja schon seit geraumer Zeit in den Vulnerability-Scanner ein paar SCADA-Module eingebaut (die meisten nur zur Erkennung von SCADA-Komponenten) aber Exploits fehlten bisher. Kevin Finisterre von SNOsoft hat für die SCADA-Software von Citect einen Exploit für Metasploit veröffentlicht.

Jetzt wird es endlich spannend 🙂  Ach ja, und ich muss meine Präsentationen aktualisieren.