Das Web Application Security Consortium (WASC) hat einen Open Proxy Honeypot entwickelt, mit dem sich Angriffe auf Webserver beobachten lassen.
Der Proxy sieht von außen aus wie ein normaler Open Proxy, läuft jedoch in einem VMWare-Image und protokolliert detailliert die durch ihn durchgeführten Angriffe mit. WASC hofft dadurch, ausreichend HTTP-Traffic zum Beobachten zu bekommen,um Angriffe zu analysieren und besser verstehen zu können.
Ach ja, und sie suchen noch Freiwillige, die ihren Proxy hosten.
Ich frag mich ja … wenn durch so einen Proxy ein System kompromittiert wird. Die IP-Adresse des Angreifers ist ja dann meine. Zivilrechtlich besteht in Deutschland vermutlich Anspruch auf Unterlassung wegen Mitstörerhaftung. Strafrechtlich ist vielleicht nicht unbedingt was zu befürchten, aber wir kennen das ja von den TOR-Betreibern. Die Freunde in den silber-grünen Autos treten gerne zuerst mal die Tür ein um dann erst zu ermitteln, worum es eigentlich geht. Wie hoch ist da denn das Risiko? Liest zufällig ein Anwalt mit?
Naja, laut FAQ sagen sie den Hackern, dass diese überwacht werden und die Angriffe werden auch nicht weitergeleitet. Lustig, diese Amis.
In London ist Montag bis Mittwoch RSA-Konferenz im ExCel in den Londen Docks. Ich bin auch da, auf Einladung von RSA. Allerdings mit etwas Arbeit und wenig Zeit, die Konferenz selbst zu besuchen. Na mal sehen, die Ausstellung hab ich schon gesehen und zumindest gibt es diverse Produktupdates von RSA. Später vielleicht mehr dazu, wenn ich noch was anschauen kann.
Die Briten sind ansonsten mal wieder lustig. Ich war ja das erste mal in London, seit die Innenstadtmaut eingeführt wurde. Jedenfalls krass, wie viele Kameras da an allen Ecken und Enden rumstehen. Man kann eigentlich keine zwei Schritte gehen ohne irgendwo gefilmt zu werden. Wenigstens gibt es überall konsequent Rauchverbot. Als Nichtraucher kommt mir das sehr entgegen. Ich bin ja mal gespannt, wie es am Flughafen wird. Da braucht schließlich nur irgendeine Kleinigkeit sein, dann geraten die ja wieder alle in Panik … na wenigstens brauch ich dann nicht auf die Systems.
Nach langer Zeit mal wieder eine kleine Buchempfehlung:
The Art of Software Security Assessment
Identifying and Avoiding Software Vulnerabilities: Identifying and Preventing Software Vulnerabilities
von Mark Dowd, John McDonald, Justin Schuh
ISBN-10: 0321444426
ISBN-13: 978-0321444424
Das Buch erklärt, welche Fehler in Software existieren, wie man diese Fehler vermeidet und wie man sie findet. Es ist in folgende Kapitel geglieder:
Chapter 1 – Software Vulnerability Fundamentals
Chapter 2 – Design Review
Chapter 3 – Operational Review
Chapter 4 – Application Review Process
Chapter 5 – Memory Corruption
Chapter 6 – C Language Issues
Chapter 7 – Program Building Blocks
Chapter 8 – Strings and Metacharacters
Chapter 9 – UNIX I: Privileges and Files
Chapter 10 – UNIX II: Processes
Chapter 11 – Windows I: Objects and the File System
Chapter 12 – Windows II: Interprocess Communication
Chapter 13 – Synchronization and State
Chapter 14 – Network Protocols
Chapter 15 – Firewalls
Chapter 16 – Network Application Protocols
Chapter 17 – Web Applications
Chapter 18 – Web Technologies
Auf der Taossa-Webseite findet man Ergänzungen und Errata zum Buch.
Und wenn man sich sowieso schon damit beschäftigt … Secure Programming for Linux von David Wheeler. Seine Dokumentation gehört zum Linux Documentation Project und ist deshalb komplett kostenlos aber wirklich nicht umsonst!
Und nein, ich verlinke nicht zu Amazon. Geht gefälligst zu Eurem Buchhändler um die Ecke, der freut sich wenn er auch mal ein Buch verkauft denn ansonsten gibt es irgendwann keine Buchhändler mehr.
RSA SecurID Token, diese komischen kleinen Teile mit dem 6-Ziffern-Display auf dem alle 60 Sekunden ein neues Passwort erscheint sind, obwohl teuer, immer noch erste Wahl wenn es um die Authentisierung von Remote Access Usern geht.
Ich gebe ja zu, wir verkaufen selbst RSA und gerade auch als Administrator sind die Teile sehr einfach und schnell eingerichtet und funktionieren einfach. Leider kostet ein Token so ca. 50 Euro und alle drei Jahre darf man ein neues kaufen.
Seit einiger Zeit versuche Anbieter von sogenannten Authentication Grids jedoch, mit extrem günstigen Preisen in den Markt der Authentisierungstoken einzudringen. Zu den Anbietern gehören beispielsweise Masabi aber auch Entrust mit IdentityGuard. Eine IdentityGuard Grid-Karte sieht so aus:
Der Anwender wird dann wie bei Schiffe versenken nach D4, A3 und H5 gefragt und antwortet dann mit „440“. Die Nummer gilt als Einmalpasswort, wenn diese Kombination nur einmal verwendet wird.
Ich sehe dabei zwei grundsätzliche Probleme:
Die Grid-Karte hat nur 50 verschiedene Kombinationen, d.h. nach relativ wenig Authentisierungsvorgängen kennt der Angreifer die Position von allen Ziffern. Ich kann mit ja D4, A3 und H5 merken, und wenn das nächste mal nach F1, E2 und A3 gefragt wird dann ist die letzte Ziffer des Passworts schon bekannt. Praktisch kann man daher nicht von einem Einmalpasswort sprechen.
Die Grid-Karte kann unbemerkt vom User kopiert und vervielfältigt werden. Ich bin mir sicher, es gibt auch Menschen mit einem photographischen Gedächtnis, die kucken sich die Karte einmal kurz an und haben alle Ziffern memoriert. Ein wenig Social Engineering („Sie haben so eine Karte? Cool, kann ich die mal sehen?“) und schon ist die Sicherheit gelaufen.
RSA Token haben den Vorteil, dass das Hardware-Token nicht kopiert werden kann. Wenn es weg ist bemerken das die Anwender meist recht schnell. Außerdem ändert sich (zeitsynchronisiert, nicht eventsynchronisiert) alle 60 Sekunden das Passwort, man kann es also gefahrlos herzeigen. Ich persönlich halte die Grid-Token ja weiterhin für eine Spielerei. In etwa einer Stunde kann man sowas z.B. für eine Webserver-Authentisierung auch selbst programmieren. Aber die Karten sind halt extrem günstig (so ab 1 Euro pro Stück) und auf die Rückseite kann man sogar noch Werbung drucken.
naja, nicht ganz. Aber sie empfehlen wegen Probleme mit dem Realplayer-Plugin im Internet Explorer entweder den IE nicht zu verwenden oder zumindest vorher den Realplayer zu deinstallieren.
Das dumme dabei ist, vieles geht ohne Internet Explorer gar nicht (naja, außer die Konfiguration der Check Point SecurePlatform, die geht mit dem IE nicht). Und es gibt tatsächlich noch Entwickler, die Software so programmieren, dass sie nur mit dem Internet Explorer funktioniert. Meistens von offensichtlich inkompetenten Entwicklern beim Staat, die sich nicht um Benutzerfreundlichkeit scheren müssen sondern die Nutzung per Gesetz erzwingen (wie bei Elster). Im Grunde gehören solche Schnarchnasen sofort wegen grober Unfähigkeit rausgeworfen.
AppArmor, die Linux-Sicherheitslösung von Crispin Cowan gegen Buffer Overflows und andere Exploits ist von Novell eingestellt worden.
Ich weiß jetzt nicht wie gut AppArmor ist, da nie probiert aber von der Beschreibung her klang das eigentlich ganz gut. Und das Profiling der Anwendungen ist im Grunde auch eine gute Idee um mal zu sehen, was ein Programm eigentlich so tut.
Für mich scheint es jedenfalls ein Verlust zu sein, wenn AppArmor verschwindet.
Das Microsoft ist-gar-kein-Microsoft-Problem-ach-doch-jetzt-hat-es-auch-Outlook-erwischt-aber-wir-tun-trotzdem-nichts Problem mit der Ausführung unsicheren Codes über URIs hat jetzt dazu geführt, dass mal wieder ein Programmierer einen inoffiziellen Patch bereitgestellt hat.
Das wirft die interessante Frage auf: Einspielen oder nicht?
Klar, im allgemeinen ist die Antwort immer: natürlich nicht. Aber rein theoretisch, wie groß muss die Gefahr sein und wie lange die Verweigerungshaltung von Microsoft ein von ihnen verursachtes Problem auch zuzugeben, bevor die Bereitschaft vorhanden ist, so einen Patch einzuspielen?
Natürlich wäre es besser, den Entwicklern ihren Code um die Ohren zu schlagen bist der Fehler behoben ist, aber wenn die nichts tun hat man halt verloren. Meinen Open Source kann ich notfalls auch selbst patchen und den Linux-Kernel neu kompilieren. Bei Closed Source sieht das leider anders aus.
