18. Juni 2011

Das Nationale Cyber-Abwehrzentrum

Category: Fun,Internet,Offtopic,Politik — Christian @ 11:47

Der Postillon erklärt: Was kann das Nationale Cyber-Abwehrzentrum?

Wenn’s nicht so traurig wäre …

xkdc Map of the Internet

Category: Fun,Internet — Christian @ 11:33

Ok, alt aber schön. Nur leider ist das Grün inzwischen auch verschwunden …

via TDWTF.

15. Juni 2011

Neue Angriffe gegen VoIP

Category: Hacking,Internet — Christian @ 10:38

Voice-over-IP-Komprimierung mit variabler Bitrate stellt ein Sicherheitsproblem dar, schreibt der NewScientist. VoIP ist generell komprimiert aber normalerweise mit fester Bitrate (ist einfacher zu programmieren und zu berechnen) und wenn man das dann verschlüsselt hat man eine recht sichere Kommunikation. Wenn VoIP in Zukunft mit variabler Bitrate komprimiert kann man anhand der übertragenen Datenmenge auf die Art des Geräusches schließen. Mit einer ausreichen großen Sprachdatenbank hat man dann gute Möglichkeiten zumindest Teile der Sprachübertragung zu erraten, wenn keine obskuren Hintergrundgeräusche stören.

Bisher ist das erstmal ein Forschungsprojekt an der John Hopkins Universität. Ich fürchte aber, NSA & Co. interessieren sich sofort für das Thema. Das PDF der Arbeit hat den Titel: Spot me if you can: Uncovering spoken phrases in encrypted VoIP conversations. Die gleichen Leute haben früher auch schon ähnliche Arbeiten veröffentlicht, beispielsweise 2007 das PDF Language Identification of Encrypted VoIP Traffic: Alejandra y Roberto or Alice and Bob? Wir wird eigentlich nochmal genau in GSM-Netzen verschlüsselt?

via Fefe

25. Mai 2011

SIM Card Hacking

Category: Hacking — Christian @ 10:51

Bei Citizen Engineer. Nicht ausprobiert aber kann man sich ja mal merken.

4. Mai 2011

UK National Risk Register

Category: Literatur,Politik,Produktion — Christian @ 09:59

Manchmal finde ich die Briten ja putzig. Ok, die Inselaffen haben einen an der Waffel und drehen völlig am Rad. Eigene Staatsbürger an die USA ausliefern geht schon mal gar nicht. Leute einsperren weil die Verschlüsselungspasswörter nicht rausrücken wollen geht auch nicht. Und sämtliche Städte mit Kameras zupflastern auch nicht. Aber dafür haben sie die BBC. Und ein Informationsfreiheitsgesetz, das diesen Namen verdient, im Gegensatz zu Deutschland.

Interessant wird es, wenn man sich ansieht was dann so alles veröffentlicht wird. Beispielsweise im National Risk Register. Das beschäftigt sich eigentlich mit der Katastrophenvorsorge in Großbritannien aber dazu gehören inzwischen neben Flut, Sturm und Unfällen auch Cyber Attacks. Die Risikobewertung unterscheidet dabei zwei Kategorien: Cyber Attacks: Infrastructure und Cyber Attacks: Data Confidentiality. Die Unterscheidung macht Sinn. Angriffe auf kritische Infrastruktur finden relativ selten statt, vertrauliche Daten gehen aber ständig verloren. Vor allem in Großbritannien. Entsprehend fällt die Bewertung aus.

Cyber Attacks: Infrastructure – geringe Eintrittswahrscheinlichkeit, mittlerer Schaden. Höheren Schaden verursachen beispielsweise Major Transport Incidents, Major Industrial Incidents, Costal Flooding und Pandemic Human Diseases.

Cyber Attacks: Data Confidentiality – Hohe Eintrittswahrscheinlichkeit, geringer Schaden. Eine niedrigeren Schaden hat gar nichts, also richtig wichtig kann der Datenschutz nicht sein. Eine höhere Eintrittswahrscheinlichkeit hat nur noch Attacks on Transport. Wobei ich mich nicht erinnern kann, dass soooo viele Terroranschläge auf öffentliche Transportmittel passieren. Ich glaube da ist mehr die Angst und Panik der Vater des Gedanken. Sitzt deren Innenminister eigentlich auch im Rollstuhl?

Man kann sich den Risk Assessment Process jedenfalls anschauen, der erläutert wie die Briten da vorgehen. Und das kann man garantiert auch mal irgendwo wieder verwenden.

22. April 2011

Vulnerability Management for Dummies

Category: Literatur — Christian @ 09:49

Hätte man sicher auch Vulnerability Management for Managers nennen können. Obwohl, ist das gleiche.

Das Buch ist von John Wiley & Sons und wird von Qualys gesponsert. Bei Qualys bekommt man auch das eBook kostenlos zum Download.

via: Security4All

20. April 2011

JIT Compiler für den Berkeley Packet Filter

Category: Produkte — Christian @ 13:52

Neulich auf lwl.net gesehen: Ein JIT Compiler für den Berkeley Packet Filter (BPF). Also genau genommen ein Patch um den BPF um einen JIT-Compiler zu erweitern. Ist das jetzt cool oder nicht?

Auf der einen Seite ist ein funktionierender und effizienter JIT-Compiler immer cool. Aber: erstens ist das Compilieren von Regelsätzen nicht neu, Check Point FireWall-1 macht das seit ca. 1992 und zweitens wird man einen Firewall-Regelsatz nicht alle 10 Minuten ändern, also ist ein normaler Compiler völlig ausreichend.

Ich schätze das ist mal wieder coole aber völlig nutzlose Technologie.

12. April 2011

X-Force Threat Reports

Category: Hacking,Produkte — Christian @ 09:29

X-Force ist meines Wissens die ehemalige Hackingtruppe von ISS. ISS falls sich noch jemand daran erinnern kann ist die Firma Internet Security Systems von Christopher Klaus, die den ersten Internet Security Scanner veröffentlicht hat. Das ist auch schon wieder ein paar Jahre her. Jedenfalls ist es im X-Force und generell ISS sehr sehr still geworden, nachdem IBM die Firma gekauft hatte. Es gibt von ISS eine Firewall (Proventia), die dann komplett in der Versenkung verschwunden ist. Inzwischen gibt es aber von IBM wieder Vertriebler die versuchen die an den Mann zu bringen. Meine Erfahrung ist jedenfalls, wenn IBM irgendwas kauft kann man das in Europa direkt aus dem Programm nehmen, das ist dann tot.

Auf jedenfall ist X-Force ein wenig der Versenkung entstiegen und veröffentlicht wieder Threat Reports. Die sind recht nützlich um auf Managementebene Sicherheitsrisiken und generell das Thema Informationssicherheit zu adressieren. Man muss sich zwar registrieren aber es gibt genug Wegwerf-Mailadressen.

Ach ja, der Link: IBM X-Force Threat Reports

 

6. April 2011

Side-Channel Attacks

Category: Hacking,Produkte — Christian @ 09:05

Side-Channel Attacks (auf deutsch Seitenkanalattacke) definiert Wikipedia als kryptoanalytischen Angriff gegen die Implementierung eines kryptographischen Verfahrens, also in der Regel die konkrete Hardware/Software die eine Verschlüsselung durchführt. Informationen über die Verschlüsselung können dabei z.B. aus der Laufzeit des Algorithmus, der Stromaufnahme des Prozessors oder elektromagnetischer Abstrahlung gewonnen werden. Vor ein paar Jahren waren Side-Channel Angriffe noch so obskur, dass sich kaum jemand damit beschäftigte. Inzwischen sind sie Mainstream und Programmierer und Entwickler sollten sich daher Gedanken machen wie eine konkrete Implementierung vor diesen Angriffen geschützt werden kann.

Harko Robroch hält auf der kommenden RSA Conference dazu einen Vortrag der sich mit genau diesen Themen beschäftigt, schreibt The Register:

    One simple trick is to vary password verification routines. „When you do a string compare to check a password, for example, to make it efficient you usually start with the first character and work through in sequence. If you hit a wrong character you throw it out. By measuring the time taken to do the check, a side-channel scan can identify which characters have been accepted. So you can protect the password by not checking it in sequence,“ he said.

Besonders betroffen sind immer noch schlüssellose Systeme wie wir seit geraumer Zeit wissen.

Apropos: Verwendet tatsächlich irgendjemand den Begriff Seitenkanalattacke? Ich musste in meinem Studium, das war so ca. 1998 mal eine Präsentation über Threaded Programming und Stack-Konflikte komplett in deutsche Begriffe übersetzen. Interessanterweise konnten die Zuhörer mit „nebenläufiger Programmierung“ und „Kellerspeicher“ damals schon so wenig damit anfangen wie ich heute mit der Seitenkanalattacke.

26. März 2011

Web Hacking Incident Database

Category: Hacking,Internet — Christian @ 08:59

Webappsec, das Web Application Security Consortium hat sich wieder etwas einfallen lassen: Die Web Hacking Incident Database, kurz WHID. Die gibt es wohl schon länger aber ich bin jetzt erst drüber gestolpert. Interessant finde ich vor allem die Statistiken der Top Attack Methods und der Top Application Weaknesses. Da weiß man wo die Probleme sind und was man dagegen hoffentlich tun kann.

Außerdem gibt es einen Twitter-Account in dem die neuesten bekanntgewordenen Hacks veröffentlicht werden: @wascwhid.

Kann man sich ja mal merken, wenn Statistiken für irgendeine Management Präsentation oder coole Stories für eine Hacking-Demo benötigt werden.