Kategorie-Archiv: Angriff

“Das Problem sitzt vor dem Rechner”

“Das Problem bei der Sicherheit sitzt ja oft vor dem Rechner”, sagt Jens Fromm, Senior Researcher am Fraunhofer-Institut für Offene Kommunikationssysteme in Berlin. Und er sagt es auf einer Pressekonferenz zum neuen Personalausweis. Einer der anwesenden Journalisten ist vom Spiegel und der schreibt:

“Vor ein paar Jahren hat die Große Koalition nun mal entschieden, dass diese Probleme alle einen elektronischen Ausweis bekommen sollen.”

Und nun wird das Ding durchgezogen, egal wie gut oder schlecht der Personalausweis geworden ist. Allein schon deshalb, weil die kostenlosen Lesegeräte, von denen selbst das Innenministerium aus Sicherheitsgründen abrät, aus dem Konjunkturpaket II finanziert werden. Wer wollte schon den Aufschwung gefährden? Im Internet sein Auto ummelden, ein Konto eröffnen, eine Versicherung abschließen oder seine Rente abfragen – all das wird bald im Browser möglich sein.

Fromm lässt während der Pressekonferenz seinen Vorführ-Ausweis auf dem Lesegerät liegen. Einer der Journalisten meldet sich:

“Bitte, tun Sie mir einen Gefallen, Herr Fromm. Mir dreht sich der Magen um, wenn ich das sehe. Nehmen Sie den Ausweis von dem Lesegerät herunter.”

Herr Fromm kommt der Aufforderung nach. Eigentlich lächerlich, wenn man bedenkt, dass ein Angreifer ein Skript für sich arbeiten lassen würde, dass bereits in wenigen Sekunden hunderte von Konten eröffnen kann.

Wie hatte Thorsten Schröder vom CCC gesagt:

“Wir wollen vor allem darauf hinwirken, daß die zum Teil absurde Augenwischerei der Verantwortlichen bezüglich der realen Risiken für den Benutzer ein Ende findet.”

OWASP-AppSec-2010-Vorträge zum Download bereit

Die Vorträge der diesjährigen OWASP-Konferenz von Mittwoch stehen nun zum Download bereit. Hier nochmal eine Übersicht über die Themen:

Keynote — Sebastian Klipper
Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8

Tom Brennan
Current State of OWASP Adoption

Matthias Rohr
Der OWASP ASVS Standard

Sascha Herzog
XML-Security – Brief introduction in the use of web service In B2B environments and backend integration

Martin Knobloch
Developing Secure Applications with OWASP

Sebastian Schinzel
Seitenkanalschwachstellen im Web erkennen und verhindern

Dr. Dirk Wetter
OWASP Top 10, die Vierte: Was t/nun?

Frederik Weidemann
Härtung von SAP HTTP- und Webservices

Dr. Ingo Hanke und Daniel Bartschies
Sicherheit von Webanwendungen als Massnahme zum Schutz personenbezogenener Daten – ein Entwurf für TOP10 des Datenschutzes

Andreas Schmidt
WATOBO – Web Application Toolbox

Alexander Meisel
Distributed Web Application Firewall (dWAF) die Applikation als neuer Security Perimeter (auch in der Cloud)

AET spaltet die Antivirenhersteller

Stonesoft hat in Sachen Advanced Evasion Techniques (AET) nachgelegt (it-sa steht vor der Tür). Nachdem der Hersteller von Sicherheitssoftware am 04.10. mit einer Pressemitteilung die Diskussion um AET eingeläutet hatte, geht es nun also in die zweite Runde. Die eigentliche Botschaft:

“Den besten Schutz vor dynamischen und sich ständig weiterentwickelnden AETs bieten flexible, softwarebasierte Sicherheitssysteme mit zentralem Management und Remote-Update-Funktion.” ← Zitat aus der Pressemitteilung.

Stonesoft ist übrigens auch auf der it-sa zu sehen. Da kann man sich dann gleich mit “flexiblen, softwarebasierten Sicherheitssystemen mit zentralem Management und Remote-Update-Funktion” eindecken. Die Stand-Nummer wird netterweise in der Pressemitteilung mitgeliefert, da muss man als Leser nicht lange suchen, wenn man erst in Panik geraten ist.

Wenigstens hat die Tagespresse (WeltOnline, SpiegelOnline) nicht nur die Panikmache aufgegriffen, sondern auch die Skeptiker zu Wort kommen lassen. Dass Kassandra-Syndrom weitet sich also mittlerweile selbst auf die eigenen Branchenkollegen aus. Es fragt sich langsam, ob es sich noch um ein echtes Kassandra-Syndrom handelt – Kassandra hatte ja korrekte Warnungen auf Lager, denen keiner Gehör schenken wollte. Was ist, wenn die eine Kassandra etwas anderes prophezeit als die zweite? Mit dieser Frage lässt uns die griechische Mythologie leider alleine.

BMI streitet Sicherheitsprobleme ab

Wie mir gerade von einem Teilnehmer der Veranstaltung Public IT-Security (PITS) berichtet wird bleibt das BMI bei der Darstellung, dass zum Missbrauch des ePA dessen Besitz notwendig sei. Andreas Reisen, Leiter des Referats “Pass- und Ausweiswesen, Identifizierungssysteme” im Bundesministerium des Innern, habe sich auf der Veranstaltung diesbezüglich geäußert.

Ich hatte am 03.10. hier im Blog auf die Pressemitteilung des Chaos Computer Clubs hingewiesen, in der sich das alles etwas anders anhört: Thorsten Schröder äußert dort den folgenden Wunsch:

“Wir wollen vor allem darauf hinwirken, daß die zum Teil absurde Augenwischerei der Verantwortlichen bezüglich der realen Risiken für den Benutzer ein Ende findet.”

Das hat ja dann offensichtlich nicht geklappt. Weiter heißt es in der Pressemitteilung des CCC:

“Das Bundesinnenministerium hat im Rahmen des Großprojektes die einfachen Basis-Lesegeräte erworben, die per Schadsoftware abgeschnüffelt werden können. Eine Million dieser Geräte sollen in einem “Starterkit” an Ausweisbesitzer vergeben werden. Den Betroffenen wird damit eine potentielle Sicherheitslücke untergejubelt. Auch sozial schwache “Kunden” des ePA sind besonders betroffen. Diese werden sich die sicherere Variante der Lesegeräte nur schwerlich leisten können und werden zudem über die potentiellen Risiken gar nicht aufgeklärt. (…)

Auch wenn die Marketing-Abteilungen der profitierenden Unternehmen sowohl in der Schweiz als auch in Deutschland unisono die Sicherheit der Identitätskarten betonen, so beweisen die nun gezeigten Angriffe, daß man nicht einmal im physikalischen Besitz der SuisseID oder des elektronischen Personalausweises sein muß, um Schindluder zu treiben. Die offensichtlich falschen Vertrauensbilder sollten nicht noch von Ministern weiterverbreitet werden.

Das Ministerium und seine nachgeordneten Behörden sehen das ePA-Projekt naturgemäß anders: “Der Spagat zwischen Datenschutz und Bedienungskomfort ist gelungen”, schreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) über den elektronischen Personalausweis in seinem aktuellen Jahresbericht.

“Was die da rauchen, hätten wir auch gern mal”, kommentierte CCC-Sprecher Engling.

Wenig hilfreich antwortete Amtssprecher Matthias Gärtner:

“dass in Gebäuden der Bundesverwaltung – und somit auch im BSI – Rauchverbot besteht, so dass wir dem (…) Wunsch des Chaos Computer Clubs nicht entsprechen können.”

Und bei Ausweisen der Bundesverwaltung besteht ein Missbrauchsverbot, möchte man hinzufügen. Innenminister de Maiziére stellte in der “Tagesschau” fest:

“Irgendwelche Hacker mögen immer irgendwas hacken können, aber die Zuverlässigkeit und Sicherheit des neuen Personalausweises steht nicht in Frage.”

Das System kann gehackt werden, aber die Sicherheit des Systems steht außer Frage?!? De Maiziére streitet bar jeglicher Argumentationsgrundlage ab und das BSI hat noch Zeit für Witzchen. Als ich mir in Zürich den Vortrag von Max Moser und Thorsten Schröder angehört habe, fand ich das eigentlich nicht so lustig.