Mitternachtshacking

Schon einige Zeit online aber bisher übersehen, die aktuelle neue SANS Top 20 ist online.

Client-side Vulnerabilities in:

• C1. Web Browsers
• C2. Office Software
• C3. Email Clients
• C4. Media Players

Server-side Vulnerabilities in:

• S1. Web Applications
• S2. Windows Services
• S3. Unix and Mac OS Services
• S4. Backup Software
• S5. Anti-virus Software
• S6. Management Servers
• S7. Database Software

Security Policy and Personnel:

• H1. Excessive User Rights and Unauthorized Devices
• H2. Phishing/Spear Phishing
• H3. Unencrypted Laptops and Removable Media

Application Abuse:

• A1. Instant Messaging
• A2. Peer-to-Peer Programs

Network Devices:

• N1. VoIP Servers and Phones

Zero Day Attacks:

• Z1. Zero Day Attacks

Webbrowser und Webapplikationen ganz oben sind natürlich kein Wunder. Office hat die zweite Stelle bei Client-side Vulnerabilities gewonnen, aber mein Eindruck ist eher, die Angreifer ziehen bereits weiter (z.B. Quicktime). Neu ist der Punkt H3, unverschlüsselte Laptops und Datenträger. Mal sehen, ob das bei Ernst & Young jemand zur Kenntnis nimmt.

Das wäre mir ja beinahe entgangen: Max Moser hat sich die Funktastaturen von Microsoft ein wenig genauer angeschaut. Und wie zu erwarten war: Lächerliche Sicherheit.

„Zur Verschlüsselung wurde nur ein einfacher XOR-Mechanismus mit einem 1 Byte langen Schlüssel verwendet. Somit werden lediglich 256 verschiedene Schlüssel generiert, um die drahtlose Verbindung abzusichern. Dabei wird dieser eine Schlüssel so lange verwendet, bis die drahtlose Verbindung der Tastatur neu generiert wird, was üblicherweise selten geschieht.“

Auf deutsch, man kann die Verschlüsselung mit einem handelsüblichen Taschenrechner brechen. Passend fand ich auch den Kommentar vom vom Schnüffelblog: „Tja, der Teufel steckt nicht nur im Innenministerium, sondern auch im Detail.“ 😉

Ich empfehle ja schon seit Jahren, möglichst auf Funktastaturen und -Mäuse zu verzichten und nur wenn es nicht anders geht wenigstens Bluetooth-Geräte einzusetzen.