Mitternachtshacking

Im Grunde genommen finde ich die Idee ja nicht schlecht:

Spezialisierte Unternehmen (ich habe z.B. mit BlackSpider vor der Übernahme durch Websense erfreulich gute Erfahrungen gemacht) bieten einen zentral verwalteten Scanner für Viren, Spam und sonstigen E-Mail Schadcode an und verkaufen das als Dienstleistung.

Ein grundsätzliches Problem ist natürlich, dass man dem beteiligten Unternehmen vertrauen muss, mit den E-Mails keinen besonderen Unsinn anzustellen. Gerade bei US-Anbietern kann das ein Problem sein, weil die dortigen Behörden auf Recht und Gesetz wenig Rücksicht nehmen und gerne mal fremde Mails mitlesen. Wenn man sich jedoch wegen Industriespionage keine besonderen Sorgen machen muss halte ich das Scannen eingehender Mails „in der Cloud“ grundsätzlich mal für keine schlechte Idee.

Etwas schwieriger wird es jetzt jedoch mit Zusatzleistungen. Die Firma Zscaler hat mir neulich eine unverlangte Werbe-Massenemail mit einem gaaanz tollen Whitepaper (PDF) über ihre Web Security Cloud Services geschickt. Die technischen Informationen tendieren zwar wie zu erwarten gegen Null, dafür gewinnt man mit den Buzzwörtern darin jedes Bullshit Bingo. Ein paar Auszüge gefällig? TeraCloud (klingt groooß und bezeichnet anscheinend deren Rechenzentrum). Oder NanoLog (komprimierte, aufbereitete Logfiles; erinnert mich aber irgendwie an den Schaumschläger Steve Gibson, kennt den noch jemand?). Und nicht zu vergessen SafeSearch (filtert Pron aus Google/Yahoo/Bing-Suchergebnissen). Aber gut. Ist ja Werbung, auch wenn Whitepaper drüber steht.

Stutzig bin ich dann aber bei der Funktionsübersicht geworden. Zscaler bietet für ausgehende E-Mails und Web-Traffic in der Cloud auch Data Loss Protection (DLP) an. Ich persönlich halte ja DLP an sich schon für reichlich überschätzt und gehypt. Data Loss Protection in der Cloud finde ich aber komplett daneben. Die sensiblen Daten haben das Unternehmen schließlich schon verlassen, sind auf nicht abhörsicheren (genaugenommen von der CIA und NSA garantiert abgehörten) Leitungen ins Zscaler-Rechenzentrum in die USA gewandert und werden da dann elegant rausgefiltert, wenn es praktisch schon zu spät ist. Und um dem ganzen die Krönung aufzusetzen fand ich in der Mail auch noch ein lustiges PDF von Gartner, warum Zscaler „cool“ ist.

Ich frage mich jetzt nur noch, ob Zscaler den hauseigenen Spam auch rausfiltert oder ob dafür extra eine Whitelist eingerichtet wurde.

Der Versuch einer Gliederung. Hab ich was wichtiges vergessen? Oder würde man das anders gliedern?

Klar, VPN oder IPS ordnen viele Hersteller bei Firewalls mit ein, weil die Produkte auf dem Markt das integrieren. Desktop Clients bieten inzwischen auch Virenscanner, Intrusion Detection, Personal Firewall und Plattenverschlüsselung in einem an.  Ich möchte aber nach technischen Verfahren gliedern und da ist Firewall halt was anderes als Verschlüsselung als Virenscanner.

• Authentisierung
  • Passwörter
  • Einmalpasswörter
    • Zeitsynchronisierte Token
    • Eventsynchronisierte Token
  • Zertifikate
    • Digitale Signaturen
    • Chipkarten/SmartCards
    • USB Zertifikatsspeicher
  • Biometrische Verfahren
• Netzwerksicherheit
  • Firewall
    • Access Control Lists (ACL)
    • Proxy-Server
    • Stateful Filtering
  • Network Access Control (NAC/NAP/UAC)
  • VLAN Sicherheit
  • Wireless LAN
    • Wired Equivalent Privacy (WEP)
    • Wifi Protected Access (WPA, WPA2)
• Verschlüsselung
  • Virtual Private Networks (VPN)
    • IPSec
    • SSL-VPN
  • E-Mail
    • PGP/OpenPGP
    • S/MIME
  • Dateiverschlüsselung
  • Festplattenverschlüsselung
  • Steganografie
• Content Security
  • Antivirus (AV)
  • Antispam
    • Real-Time Blocklisten (RBL)
    • Reputation-Listen
    • Bayes’sche Filter
  • URL-Filter
  • Antispyware
  • Data Leak Protection (DLP)
• Monitoring/Überwachung
  • Security Information and Event Monitoring (SIEM)
  • Vulnerability Tracking
  • Intrusion Detection / Prevention
    • Host-basierte Intrusion Detection (HIDS)
    • Netzwerk-basierte Intrusion Detection (NIDS)
    • Intrusion Prevention (IPS)
    • Honeypots
• Datensicherung
  • Backup
  • Archivierung
  • Dokumentenmanagement
• Systemsicherheit
  • System Hardening
  • Patchmanagement
• Hochverfügbarkeit
  • USV/Notstromversorgung
  • Clustering
• Compliance / IT-Governance
  • Auditierung
    • IDW PS 330
    • ISO 27001
    • BSI Grundschutz
    • Payment Card Industry Data Security Standard (PCI)
• Penetration Testing
  • Externe/Interne Penetrationstests
  • Code Review
  • Social Engineering
• Social Security
  • Mitarbeitersensibilisierung
  • Schulung

Ach ja, Physical Security habe ich bewußt weggelassen.

Die 3-jährige Tochter meiner Freundin sieht Angela Merkel auf einem Wahlwerbeplakat:

„Da ist die Babbeltante wieder, die immer sagt bitte wenden!“

Die Stimme des Navigationssystems wird von ihrem Opa nämlich auch als Babbeltante bezeichnet und jetzt weiß sie, wie die aussieht 🙂

Dieser Beitrag über verbesserte Angriffe gegen SHA-1 bei Heise sollte dem einen oder anderen Verantwortlichen von Webservern für Zahlungsverkehr (also Internetbanking oder Paypal) Schweißperlen auf die Stirn treiben.

Unsere gesamte kommerzielle Zertifikatsinfrastruktur hatte ja schon zu kämpfen, MD5 loszuwerden und die im Zertifikatsspeicher hinterlegten RootCA-Zertifikate zu aktualisieren. Wenn SHA-1 fällt dann wird es erst recht spannend. Klar, SHA-256, SHA-512 etc. sind längst definiert und standardisiert, basieren aber auf dem gleichen Algorithmus wie SHA-1 und verwenden eigentlich nur eine größere Hashlänge. Die Angriffe gegen SHA-1 sollten sich daher durchaus anpassen lassen.

Klar, das NIST führt gerade eine Hash Competition durch, um wie bei AES einen neuen Hash-Algorithmus zu finden. Die Timeline ist jedoch ausreichend großzügig dimensioniert. Erst Ende 2012 soll der neue Algorithmus als Standard verabschiedet werden. Ich bin mir (a) nicht sicher, ob noch so viel Zeit bleibt und (b) ob überhaupt ausreichend sichere Algorithmen übrig bleiben. Man beachte, wie viel der Verfahren schon wieder gebrochen sind.

Webbugs

Ich spiele seit einiger Zeit mit dem Firefox-Addon Ghostery herum und es ist echt erschreckend, wie viele Bugs manche Webseiten implementieren. Bisher habe ich da mit meinen eigenen Filtern herumgebastelt aber das nimmt langsam echt überhand. Hier meine aktuelle Sperrliste im Adblock Plus:

• .ivwbox.de/cgi-bin/* (Infoline SZM)
• */ivw-bin/ivw/* (Infoline SZM)
• */cgi-bin/igare/CP/* (Infoline SZM ??)
• /ivw.* (Infoline SZM)
• .etracker.com/nscnt.php?* (eTracker)
• .etracker.com/cnt.php?* (eTracker)
• .etracker.com/t.js?* (eTracker)
• .nuggad.net/bk?* (nugg.ad)
• .sitestat.com/* (Nedstat)
• quantserv.com/* (Quantcast)
• 2o7.net/* (Omniture)
• .hitbox.com/* (Omniture)
• .extreme-dm.com/c.g?* (Extremetracking)
• .lijit.com/res/images/wijitTrack.gif?* (Lijit)
• .lijit.com/res/images/empty.gif?* (Lijit)
• .google-analytics.com/* (Google Analytics)
• /botd.wordpress.com/botd.gif?* (WordPress Botd)
• .webtrekk.net/* (Webtrekk)
• /track.webtrekk.de/* (Webtrekk)
• /c*.statcounter.com/* (StatCounter)
• /*.doubleclick.net/ad/* (DoubleClick)
• /stats.blogoscoop.net/* (Blogoscoop)
• .yahoo.com/b?P* (Yahoo)
• /stats.big-boards.com/* (Big Boards)
• /static.getclicky.com/* (Clicky)
• /www.browser-statistik.de/browser.png?* (browser-statistik.de)
• /statse.webtrendslive.com/* (Webtrends)
• /dcstest.wtlive.com/*  (Webtrends)
• /anormal-tracker.de/countv2.php?* (Anormal Media, immerhin zeigt dieser Tracker nicht die kompletten IP-Adressen an, Datenschutz positiv umgesetzt)
• /wikia-ads.wikia.com/onedot.php?* (Wikia Inc.)

Kennt jemand einen Trick, wie man mit Adblock Plus zuverlässig Webbugs, d.h. die 1×1-Pixel Grafiken die gerne in Seiten eingebettet werden, blockieren kann? Leider gibt es halt neben den Webbugs auch 1×1-Pixel Grafiken, die als Platzhalter für das Layout eingesetzt werden. Deshalb dürfen nur 1×1-Pixel von fremden Domains blockiert werden, nicht aber von der Domain (oder von Subdomains) von der die eigentliche Seite geladen wird.

Urchin

Noch schlimmer sind die diversen Varianten von JavaScript, die ständig irgendwo eingebettet werden. Selbst Mozilla.org lässt einen damit nicht mehr in Ruhe. Ich habe inzwischen gesperrt:

• */__utm.js (das Original Urchin Tracker Modul, Urchin 5)
• */__utm.gif?* (Urchin Tracker Modul ??)
• */urchin.js (das um Google Analytics erweiterte Modul, Urchin 6)
• */ga.js (das neue Google Analytics Javascript)
• */__ga.js (das neue Google Analytics Javascript)

Es gibt sogar Google Autorisierte Urchin Consultants. Was sollte man denn effizienterweise noch alles blockieren? Kann man Javascript blockieren, das die Zeichenfolge „Urchin“ enthält?

Ach ja, so global gesehen sind die Adblock Plus Filter richtig gut. Ich habe bisher erst eine einzige Ausnahmeregel benötigt:

•  @@*/imagedb/*

weil der Adblock Plus Ares ABP + Easylist zu viel blockiert hat.

Ich persönlich hasse ja Podcasts, Webcasts und sonstige *casts. Einladungen von Herstellern oder Distributoren wandern eigentlich generell in die Ablage P. Aber auch wenn ich mir die Podcasts des CERT vermutlich nie anhören werden, hier trotzdem der Link:

CERT’s Podcast Series: Security for Business Leaders

Unterteilt sind die Podcasts in folgende Kategorien:

• Governing for Enterprise Security
• Measuring Security
• Privacy
• Risk Management and Resilience
• Security Education and Training
• Software Security
• Threat
• Trends and Lessons Learned
• Tips from the Trenches: Areas of Practice

Eventuell ist das ja von allgemeinerem Interesse.

Apropos Rant, die Süddeutsche Zeitung hat auch einen aktuellen:

„Immer mehr Monitore, Buchsen und Computerkabel nehmen Platz in unseren Arbeits- und Wohnräume weg. Das hat gravierende gesundheitliche Folgen.“

Nein, es geht nicht um Elektrosmog. Das American Journal of Preventive Medicine berichtet von einem Anstieg um 732 Prozent bei Unfällen mit Computern im Haushalt.

„Während Kinder vor allem Blessuren am Kopf davontrugen, war die häufigste Unfallursache in anderen Altersgruppen das Stolpern über Kabel, Drucker, Scanner oder andere Geräte.“

Stimmt. Da warte ich bei mir zuhause auch noch drauf, über die Kabel zu stolpern und beim Festhalten vom herabstürzenden 21-Zoll Röhrenmonitor erschlagen zu werden. Obwohl … das könnte auch ne gute Ausrede sein, die Freundin böse Nachbarn loszuwerden.

Auf Securityfocus gibt es von Mark Rasch (immerhin ehemaliger Computerstrafverfolger im US Justizministerium) einen schönen Rant über das deutsche Strafrecht und den StGB 202c.

„The [German] statute requires that the commission of the criminal offense be the express purpose of the computer program. The intent of the programmer does not, apparently, matter.“

Kein Wunder, dass das Gesetz nichts taugt. Wie soll ein Programm eine Absicht vermitteln? Egal wie man es betrachtet, man erkennt immer wieder, dass unsere Gesetze von Internetausdruckern und inkompetenten Idioten im Bundesjustizministerium von Frau Zypries gemacht werden. Nur leider nicht von Fachleuten.

„Two years out, the German law has been effectively used to scare legitimate security researchers, while no reported cases have been brought against computer hackers for a violation of the hacker tools provision.“

Eine schöne Zusammenfassung. Ein völlig nutzloses Gesetz, das lediglich Schaden in der deutschen Wirtschaft und der deutschen IT-Security angerichtet hat. Es wäre mal Zeit, anzuhalten und nachzudenken. Aber die Deppen machen ja direkt weiter mit der geplanten Internetzensur der Laienministerin.

Traurig, dass das inzwischen sogar den Amerikanern aufgefallen ist.

(via The Register)

Eigentlich Offtopic und nur weil sich die Geschichte des größten Diamantenraubs in Antwerpen bei Wired wirklich spannend liest:

The Untold Story of the World’s Biggest Diamond Heist

Und wenn man zwischen den Zeilen liest, findet man vielleicht auch die eine oder andere Idee für einen Penetrationstest mit Physical Security Komponente.

(via Security4all)

Wenn ich mal etwas Zeit habe, finde ich es recht spannend, uralte RFCs durchzublättern um zu sehen, wie sich die Netzwerkprotokolle entwickelt haben und welche Gedanken man sich ursprünglich zu verschiedenen Diensten gemacht hat. Ich möchte daraus eine sehr unregelmäßige Reihe machen, in der ich für mich RFCs festhalten kann, die mir aus verschiedenen Gründen aufgefallen sind.

• RFC 128: Bytes

Das ist aus heutiger Sicht ein recht lustiger RFC. Praktisch jeder ist der Meinung, ein Byte besteht natürlich aus 8 Bit. Ich glaube mich daran erinnern zu können, dass einer meiner Azubis so etwas sogar in der Fachinformatiker-Prüfung hatte. 1971 war das noch etwas anders: „Crocker implies in RFC 123 that control of this parameter is given to the 3rd level programs and that both sender and receiver may specify values of the byte size to the NCP.“ Auf Deutsch: Die beteiligten Kommunikationsendpunkte legen die Größe ihres Bytes fest. Und dann folgt ein nettes Beispiel mit Bytes von 3 und 5 Bit. Kann sich heute keiner mehr vorstellen, so etwas. Erklärt aber, warum die ISO-Einheit „Oktett“ und nicht „Byte“ ist.

• RFC 204: Sockets in Use

Klar, HTTP ist Port 80, SSH ist Port 22, POP3 ist Port 110 usw. Aber wie fing das mit den Portnummern eigentlich an? „I would like to collect information on the use of socket numbers for „standard“ service programs. For example Loggers (telnet servers) Listen on socket 1. Recently Dick Watson suggested assigning socket 5 for use by a mail-box protocol (RFC196).“ Sehr schön. Daraus hat sich erst diese und dann diese Liste entwickelt. Warum ist eigentlich Telnet von 1 auf 23 gewandert?

• RFC 221: A Mail Box Protocol, Version-2

Auch so ein Schmankerl. Vor allem wegen der Vorstellung, dass Nachrichten auf Papier direkt digital abgebildet werden sollen: „It is the sender’s responsibility to control the length of the print line and page. If more than 72 characters per line are sent, or if more than 66 lines are sent without a form feed, then the receiving site can handle these situations as appropriate for them.“ Eine Seite besteht also aus 66 Zeilen mit je 72 Anschlägen. Und genau so müssen digitale Mails auch aufgebaut werden. Könnte direkt von den Internetausdruckern kommen, dieser RFC.

• RFC 229: Standard Host Names

Das waren noch Zeiten, als die UCLA einen Rechner ungestraft „SEX“ nennen konnte. Das hat sich dann aber auch innerhalb einer Woche geändert!

• RFC 346: Satellite Considerations

Auch nicht unspannend, wie früh und konkret sich das Militär immer wieder in die Entwicklung eingemischt hat. Datenübertragung zwischen zwei Computern mittels Satellit konnte sich 1972 sonst niemand leisten.

• RFC 373: Arbitrary Character Sets

Da hat sich doch tatsächlich jemand Gedanken über erweiterte Zeichensätze gemacht. Man muss sich das mal vorstellen, 96 Character in ASCII war damals schon innovativ, viele haben noch mit 64 Zeichen (ohne Kleinbuchstaben) gearbeitet. „Anyone can register a new character. Each character has a unique number, 17 bits should be enough even to include Chinese. Finally, the character has a design which is a picture on a 50 by 50 dot matrix.“ 17 Bit … sowas.

• RFC 412: User FTP Documentation

An der Qualität der Handbücher und Dokumentation hat sich seither auch nichts geändert. Meiner Mutter bräuchte ich mit dieser Doku FTP jedenfalls nicht erklären.

• RFC 468: FTP Data Compression

FTP ist sowieso eines der Protokolle die mich mit dem ursprünglich geplanten aber oft nur teilweise implementierten Funktionsumfang immer wieder überraschen. Beispielsweise die Übertragung von einem FTP-Server direkt zu einem anderen FTP-Server mit einer Kombination aus Active und Passive FTP. Ich kenne kaum einen FTP-Client der das kann, inzwischen verbieten das aber auch die meisten FTP-Server wegen Bounce und ähnlichen Angriffen. Gibt es eigentlich irgendeinen FTP-Server oder Client, der den HASP-Mode implementiert?

Irgendwann mehr …