| M | D | M | D | F | S | S |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 | |
Ich bin gerade am Installieren eines Servers, das dauert wie üblich ein wenig. Daher kann ich mal kurz die Bedrohungsanalyse prüfen:
Ich verstehe das nicht … wollen die alle keine IT-Security Produkte mehr verkaufen? 🙂
a074b01b79207eaec03dbad343997c6c ist ein MD5-Hash von irgendwas, was ich weiß und vielleicht oder vielleicht auch nicht oder so eventuell mal hier oder woanders posten werde. Ich will aber jetzt schon mal festhalten, dass ich das, was ich noch poste, jetzt schon weiß, damit jeder weiß, dass ich das als erstes gefunden habe, aber nur nicht veröffentlicht habe oder schon oder woanders oder was weiß ich denn.
Dieses lustige MD5-Hash posten scheint der neueste Trend in der Veröffentlichung von Sicherheitslücken zu werden. Halvar Flake, Didier Stevens und Kai Hampelmann, alle veröffentlichen MD5-Hashes die keinen interessieren um irgendwann mal behaupten zu können: „Ich hab’s gewusst!“.
Im Prinzip ist mir das ja egal. Entweder man macht Full Disclosure, d.h. man veröffentlicht alle Details einer Sicherheitslücke oder nicht. Wenn nicht, dann sagt man nur dem Hersteller wo das Problem ist und wartet halt ein halbes Jahr oder länger auf die Patches. Microsoft und Oracle sind da so Spezialisten. Solange eine Lücke nicht öffentlich bekannt ist, passiert erst einmal gar nichts oder sehr wenig und ein Patch dauert dann halt gerne mal 300 Tage oder gerne auch mal länger. Die Advisories von eEye können da ein Lied von singen. Stand heute, 19.05.2007: EEYEB-20061024, Vendor Microsoft, Days sind initial report: 208!
Das Problem mit den MD5-Hashes ist nur, dass sich die Typen dann hinstellen und hinterher behaupten, sie hätten ja schon früh was veröffentlicht und sei es nur der MD5-Hash gewesen. Eine nette Pervertierung von Full Disclosure. Ich denke, die MD5-Poster sollte man am besten gar nicht mehr ernst nehmen.
Ach ja, und wer herauskriegt, was hinter dem obigen Hash steckt, bekommt ein Bier von mir 🙂
Hach ja … endlich hier bei Symantec eine universelle Lösung zur Problematik, Schadcode-Updates an der Personal Firewall vorbeizubringen.
Alle vernünftigen Firewalls (die Windows XP Firewall natürlich nicht) filtern auch ausgehenden Datenverkehr und lassen nicht jedes Programm mit dem Internet kommunizieren. Daher hat ein Schadprogramm das Problem, beim Nachladen der Module typischerweise einen Alarm auf der Firewall auszulösen. Für diese Beschränkung gibt es nun mehrere Standardverfahren:
Und jetzt hat also endlich jemand den BITS Dienst von Windows Update entdeckt. Das ist ein Systemdienst, der darf durch die Personal Firewall, das gibt keinen Alarm und es laufen auch keine seltsamen Prozesse im Hintergrund. Sehr elegant.
Ein erster PoC ist auch schon aufgetaucht.
Soso, der böse Slammer-Wurm hat mal wieder zugeschlagen.
Der gleiche Wurm, der schon mal die Davis-Besse Nuklearanlage infiziert hat, hat sich nun mit den Wahlcomputern im Sarasota County, Florida angelegt. Das Ergebnis war zu erwarten: 1:0 für Slammer.
Wie üblich hat das erst einmal irgendwer versucht zu vertuschen und nun heißt es, dass die Wahl davon nicht betroffen war. Nur wenn man die Ergebnisse betrachtet, dann ist schon auffällig, dass bei dieser Wahl 9x so viele leere Stimmabgaben erfolgt sind als normal.
Ich fürchte ja, wenn die meisten Administratoren schon mit der Absicherung ihrer Windows-Server überfordert sind, dann brauchen wir mit Wahlmaschinen gar nicht erst anfangen. Eine Technologie zur Wahl verwenden, die 95% der Wähler nicht mehr richtig verstehen und durchschauen ist ein Problem. Da können wir die Wahl auch gleich komplett abschaffen.
Die Hersteller von Wahlcomputern haben leider kein echtes Interesse daran, sichere und zuverlässige Geräte zu entwickeln. Primär geht es darum, dass die Geräte billig sind und teuer verkauft werden können. Besonders krass war ja die Firma Diebold, wie BlackBoxVoting so schön gezeigt hat.
Obwohl, eine sichere Plattform scheint es zu geben: die XBox 360 von Microsoft. Da tun sich die Hacker mit Modifikationen schwer und wenn, wird es zumindest entdeckt. Vielleicht sollten wir in Zukunft unsere Wahl von Microsoft veranstalten lassen?
Kollege Matthias hat sich zur CISSP-Prüfung angemeldet. Das kann ich natürlich nicht auf mir sitzen lassen und habe mich auch gleich mal dort gemeldet. Am 1. Juli ist Prüfung.
Die Anmeldeseite ist lustig. Eine der Fragen: Sind Sie jemals im Zusammenhang mit Hacking aufgefallen?“ Na klar, davon lebe ich. Wir machen Penetrationstests und öffentliche Hackingshows und wenn wir da nicht auffallen, dann machen wir was falsch.
Ich hoffe, die nehmen mich trotzdem … ich hab vorsichtshalber dazugeschrieben, dass ich Certified Ethical Hacker bin. Man weiß ja nie, was die Amis so denken. Obwohl, die CISA-Prüfung würde mich auch noch interessieren.
Privacy 2.0 hat einen neuen Alptraum für Datenschützer entdeckt:
Cluztr (warum verwenden die eigentlich alle so hirnrisse Namen?) sammelt und postet automatisch per Firefox-Plugin alle von einem Benutzer angesurften Webseiten.
Da könnte man was draus machen …
Bruce Schneier und Marcus Ranum unterhalten sich über den Wert und Nutzen von Penetrationstests.
Die Position von Marcus Ranum ist offensichtlich gegen Penetrationstests:
Bruce Schneier sieht das anders und spricht in einem gewissen Rahmen für Penetrationstests:
Meiner Meinung nach greifen beide zu kurz.
Diese Begriffe darf man nicht durcheinander werfen, da sie unterschiedliche Zielsetzungen haben. In einem Penetrationstest werden Sicherheitslücken gesucht, verifiziert und bewertet sowie Lösungen angeboten. Ein Vulnerability Assessment zeigt anhand von Scans oder der Konfiguration theoretische Schwachstellen auf (die in einem Penetrationstest verifiziert werden können). Ein Security Audit verifiziert die vorhandene Konfiguration gegen einen Standard, ohne real nach Sicherheitslücken zu suchen.
Jede Infrastruktur ist angreifbar, ich denke das ist klar. Ein Penetrationstest zeigt, wo die Infrastruktur besonders angreifbar ist und der dringendste Handlungsbedarf besteht. Alles was kompromittiert werden kann ist eine echte Sicherheitslücke und nicht nur eine theoretische Bedrohung. Systeme, die die Penetrationstester links liegen lassen sind meistens so gut gesichert, dass der Aufwand nicht lohnt. Und schließlich kann geprüft werden, ob und wie die Angriffe erkannt wurden. Dort wo ein Angriff erfolgreich war und niemand ihn bemerkt hat, genau dort liegt das größte Risiko für das Unternehmen.
In diesem Sinne eingesetzt helfen Penetrationstests bei einem effizienten Einsatz der vorhandenen Mittel zur Absicherung der Infrastruktur.
Microsoft Vista mag Dateien nicht löschen. Oder kopieren. Oder verschieben. Oder ab und zu doch, aber dann sehr sehr langsam. Ich kann das leider nicht testen, „isch ‚abe gar kein Vista“. Jedenfalls kocht es gerade in den Microsoft Foren hoch. Und The Register hat mal wieder was zum Lästern.
Erstaunlich ist, dass Microsoft dafür keinen Fix anbieten kann. So kompliziert erscheint mit das löschen, verschieben und kopieren von Dateien nicht zu sein. Was kann man da eigentlich falsch machen?
Eigentlich ist mit das Thema auch egal. Ich überlege nur gerade, wie man das für einen Denial-of-Service Angriff ausnützen könnte … Ideen, irgendwer?
PRISMA = Program Review for Information Security Management Assistance
Das US NIST Computer Security Resource Center hat für US-Behörden ein neues Programm namens PRISMA ins Leben gerufen. Dabei soll die Sicherheit von IT-Systemen bewertet werden. Die Kernidee ist ein sogenannter Maturity Level, der aussagt wie weit Security bereits in einzelne Bereiche vorgedrungen ist:
Das ganze wird mit einer netten Datenbank begleitet und bietet ein paar hübsche Informationen. In Summe gibt es einen Haufen von Fragen die zu beantworten sind, und wenn alles ok ist, dann ist dieser Bereich im Unternehmen „compliant“ und grün, wenn ein paar Sachen gemacht wurden, aber nicht alle, dann ist dieser Bereich „partially compliant“ und gelb, und wenn nichts gemacht wurde, dann ist das natürlich „non compliant“ und rot. Durch die einfachen Fragen dürfte es in der Praxis schnell zu Ergebnissen kommen.
Ich werde mir das mal genauer anschauen und dann darüber berichten .
Es gibt ein neues Check Point Buch!
Ja, ich weiß. Das Check Point Buch von Matthias Leu und Bernd Ochsmann ist schon seit zwei Monaten verfügbar und ich bin spät dran mit diesem Eintrag, aber das meine ich gar nicht. Statt dessen erscheint demnächst dieses Buch:
Braucht es ein zweites Check Point Buch? Ich denke ja. Das Buch von Matthias Leu hat den Anspruch, das Referenzwerk schlechthin zu sein. Das Problem mit einem Referenzwerk ist leider, dass die Praxisnähe oft verloren geht. Die Funktionen der Firewall werden möglichst umfassend und vollständig aufgeführt, allerdings ohne sie für den Anwender ausreichend zu bewerten und praxisnahe Empfehlungen zur Umsetzung zu geben. Dieses Defizit behebt Yasushi Kono.
Sein Buch führt längst nicht alle Parameter und Einstellungen auf. Dafür gibt es viele Tipps und Empfehlungen aus der langjährigen Erfahrung und diversen Kundenprojekte. Sehr erfreulich ist der Blick über den Tellerrand. Check Point auf Nokia wird berücksichtigt, Provider-1 wird angesprochen, Integrity beschrieben und sogar die Installation eines RSA Authentication Manager ist enthalten. Besonders gefällt mir das Troubleshooting-Kapitel, in dem typische Probleme angesprochen und Lösungen angeboten werden. Im Grunde eine hilfreiche Auswahl der Secure Knowledgebase auf Papier.
Das Buch erscheint im Juli, ich hatte die Ehre und Freude, das Buch inhaltlich Korrektur zu lesen und den einen oder anderen Tipp zu geben. Und es gefällt mir wirklich sehr gut.