Kategorie-Archiv: Angriff

De Maizière warnt vor Cyber-Angriffen

Bundesinnenminister de Maizière hat im Welt Interview vor Cyber-Angriffen auf das Internet gewarnt. Ungefähr alle zwei bis drei Sekunden gebe es eine Attacke auf das deutsche Internet.

Das Internet ist inzwischen eine kritische Infrastruktur geworden. Das heißt, es muss wie Strom und Wasser immer verfügbar sein. (…) Etwa vier bis fünf Mal am Tag gibt es Angriffe auf das deutsche Regierungsnetz. Dabei gehen wir, ohne es sicher beweisen zu können, von der Beteiligung von Nachrichtendiensten anderer Länder aus. (…) Wir sind da im internationalen Vergleich nicht schlecht aufgestellt. Schon vor 20 Jahren, und das war eine strategische Meisterleistung von Wolfgang Schäuble mit großer Weitsicht, hat die Bundesrepublik das BSI gegründet, das Bundesamt für Sicherheit in der Informationstechnik. (…) Von dort höre ich: Wir sind gut, aber eben noch nicht gut genug.

Bitte? Der Innenminister h-ö-r-t vom BSI? Das Internet ist also so wichtig wie Wasser und der Minister hat sich mal vom BSI berichten lassen, wie es aufgestellt ist. Das kommt mir bekannt vor. Im Oktober hatte der Innenminister in der “Tagesschau” zum elektronischen Personalausweis festgestellt:

“Irgendwelche Hacker mögen immer irgendwas hacken können, aber die Zuverlässigkeit und Sicherheit des neuen Personalausweises steht nicht in Frage.”

Das der ePA sicher ist hatte er auch vom BSI gehört und was die Hacker da so hacken – alles halb so wild.

Mehr Infos zu den Java-Schwachstellen

Am Montag hatte ich darüber geschrieben, dass Java den Adobe Reader als kritischste Anwendung abgelöst hat. Ich hatte dort auch den Oktober Patchday erwähnt, in dem mehrere kritische Schwachstellen gefixt wurden. Die gefixten Schwachstellen und die möglichen Angriffsszenarien wurden im Minded Security Blog in  drei Artikeln beschrieben.

Beim DNS-Rebinding geht es darum, dem Browser des Opfers einen falschen DNS-Server unterzuschieben um ihn unbemerkt zu manipulierten Inhalten zu locken. Wie das passiert hat Heise in einem Artikel erklärt, der dazu auch eine Grafik enthält (Klick auf kleine Abbildung). Bereits 2006 waren derartige Angriffe mit Java Applets veröffentlicht worden. Angreifer und Verteidiger liefern sich ja seit jeher ein nettes Katz-und-Maus-Spiel um Maßnahmen, Gegenmaßnahmen und Anti-Gegenmaßnahmen. So soll die Java Same Origin Policy einem Applet nur dann erlauben auf Objekte einer anderen Webseite zugreifen, wenn sie aus derselben Quelle stammt. Das soll Angreifern eigentlich das Leben schwer machen, was aber mit DNS-Rebinding ausgehebelt werden kann und nur zu mäßigen Erfolgen führt.

“Das Problem sitzt vor dem Rechner”

“Das Problem bei der Sicherheit sitzt ja oft vor dem Rechner”, sagt Jens Fromm, Senior Researcher am Fraunhofer-Institut für Offene Kommunikationssysteme in Berlin. Und er sagt es auf einer Pressekonferenz zum neuen Personalausweis. Einer der anwesenden Journalisten ist vom Spiegel und der schreibt:

“Vor ein paar Jahren hat die Große Koalition nun mal entschieden, dass diese Probleme alle einen elektronischen Ausweis bekommen sollen.”

Und nun wird das Ding durchgezogen, egal wie gut oder schlecht der Personalausweis geworden ist. Allein schon deshalb, weil die kostenlosen Lesegeräte, von denen selbst das Innenministerium aus Sicherheitsgründen abrät, aus dem Konjunkturpaket II finanziert werden. Wer wollte schon den Aufschwung gefährden? Im Internet sein Auto ummelden, ein Konto eröffnen, eine Versicherung abschließen oder seine Rente abfragen – all das wird bald im Browser möglich sein.

Fromm lässt während der Pressekonferenz seinen Vorführ-Ausweis auf dem Lesegerät liegen. Einer der Journalisten meldet sich:

“Bitte, tun Sie mir einen Gefallen, Herr Fromm. Mir dreht sich der Magen um, wenn ich das sehe. Nehmen Sie den Ausweis von dem Lesegerät herunter.”

Herr Fromm kommt der Aufforderung nach. Eigentlich lächerlich, wenn man bedenkt, dass ein Angreifer ein Skript für sich arbeiten lassen würde, dass bereits in wenigen Sekunden hunderte von Konten eröffnen kann.

Wie hatte Thorsten Schröder vom CCC gesagt:

“Wir wollen vor allem darauf hinwirken, daß die zum Teil absurde Augenwischerei der Verantwortlichen bezüglich der realen Risiken für den Benutzer ein Ende findet.”

OWASP-AppSec-2010-Vorträge zum Download bereit

Die Vorträge der diesjährigen OWASP-Konferenz von Mittwoch stehen nun zum Download bereit. Hier nochmal eine Übersicht über die Themen:

Keynote — Sebastian Klipper
Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8

Tom Brennan
Current State of OWASP Adoption

Matthias Rohr
Der OWASP ASVS Standard

Sascha Herzog
XML-Security – Brief introduction in the use of web service In B2B environments and backend integration

Martin Knobloch
Developing Secure Applications with OWASP

Sebastian Schinzel
Seitenkanalschwachstellen im Web erkennen und verhindern

Dr. Dirk Wetter
OWASP Top 10, die Vierte: Was t/nun?

Frederik Weidemann
Härtung von SAP HTTP- und Webservices

Dr. Ingo Hanke und Daniel Bartschies
Sicherheit von Webanwendungen als Massnahme zum Schutz personenbezogenener Daten – ein Entwurf für TOP10 des Datenschutzes

Andreas Schmidt
WATOBO – Web Application Toolbox

Alexander Meisel
Distributed Web Application Firewall (dWAF) die Applikation als neuer Security Perimeter (auch in der Cloud)