Auflistung aller Beiträge aus der Kategorie

Angriff

ψ² = Ps(i)²

Sicherheit von SecurID-Tokens gefährdet

Nach dem RSA Opfer eines Angriffs geworden ist, bei dem auf vertrauliche Unternehmensdaten gestohlen wurden, sei nun möglicherweise die Sicherheit der SecureID-Produkte gefährdet. Das berichtet Heise-Online in einem Artikel.

Der Vorfall betrifft die Sicherheit von weltweit mehr als 40 Millionen Token, mit denen Anwender Einmal-Passwörter generieren können. Das Problem besteht nun darin, dass ein Angreifer mit den gestohlenen Informationen den Algorithmus nachvollziehen kann, mit dem die Einmal-Passwörter generiert werden. Damit ist die Sicherheit dieser Methode nur noch durch das zusätzlich geforderte Passwort gewährleistet.

Gegenüber einem normalen Account, an dem man sich mit einem Passwort anmeldet, ist die zusätzliche Sicherheit damit verloren. Darüber hinaus kann man davon ausgehen, dass in Umgebungen in denen SecureID-Produkte eingesetzt werden weniger Wert auf die Sicherheit dieses zusätzlichen Passworts gelegt wird.

In einer offiziellen Mitteilung an die US-Börsenaufsicht führt RSA mehrere Empfehlungen auf, mit denen die Sicherheit der SecureID-Produkte erhöht werden kann.

Lesen Sie mehr →
ψ² = Ps(i)²

Bayerisches LKA setzt “Landes”-Trojaner ein

Wie Spiegel-Online berichtet setzte das bayerische LKA in einem Fall von “normaler Kriminalität” ein Spionageprogramm ein. Am Münchner Airport verschwanden die Kontrolleure mit dem Laptop eines Reisenden im Nebenraum. Seit 2008 führt die Polizei ein Ermittlungsverfahren wegen “banden- und gewerbsmäßigen Handelns und Ausfuhr von Betäubungsmitteln”. Im 30-Sekunden-Takt schickte die Software Screenshots an die Ermittler. Die Ausspähung fiel nach Angaben von Spiegel-Online erst auf, als der Anwalt des Beschuldigten Monate später in der Ermittlungsakte Fotos vom Bildschirm seines Mandanten fand.

Lustig wird der Artikel dann am Schluss: Eine Anklage gibt es nämlich bis heute nicht. Die Staatsanwaltschaft möchte möglicherweise vermeiden in einer öffentlichen Verhandlung mehr über ihren verdeckten Cyber-Helfer preisgeben zu müssen, als ihnen lieb ist.

“Doch wo ist der Spion heute? Drei Monate durfte er laut Genehmigung des Amtsgerichts auf dem Laptop lauschen. Danach wurde der Computer bei einer Durchsuchung einkassiert und wanderte in die Asservatenkammer. Wenn das Programm der eigenen Leistungsbeschreibung gefolgt ist, hat es sich dort inzwischen selbst zerstört.”

Hören Sie in Ihrem Kopf jetzt auch die selbe Melodie wie ich?

Lesen Sie mehr →
ψ² = Ps(i)²

GenuGate Firewall durchbrochen

Offenbar ist es Thomas Werth gelungen mit Hilfe seines Tools RATTE selbst die EAL 4+ zertifizierte Firewall GenuGate zu durchbrechen.

“Zur Durchführung des Tests wurde das Programm “Remote Administration Toolkit Tommy Edition” kurz RATTE entwickelt.  Dieses Tool nutzt diverse nicht-fortschrittliche Techniken zur Umgehung der vorhandenen Sicherheitsmaßnahmen. Mittels dieser Techniken konnte RATTE in den Tests lokale Firewalls (Windows, Outpost und Sophos Firewall wurden getestet), IDS/IPS (Snort), AV (Avira,Sophos,Fortinet,Antivir), Netzwerk-Firewalls (GenuGate, Fortigate) und Proxys mit Authentifiziernug (Squid) umgehen.”

Sie finden ein erläuterndes Whitepaper und ein Video auf der Webseite von Marko Rogge.

Lesen Sie mehr →
ψ² = Ps(i)²

Schlechte Nachrichten für iPhone Besitzer

Ein verlorenes oder geklautes iPhone bedeutet nach wie vor ein ernsthaftes Sicherheitsproblem – auch bei der aktuellen iPhone-Generation. Das berichtet Heise Online unter Berufung auf die Arbeit von Jens Heider und Matthias Boll, denen es gelungen ist, trotz Passcode-Sperre unter anderem abgespeicherte Passwörter aus einem iPhone auszulesen.

Durch einen modifizierten Jailbreak verschafften sie sich Zugang zum Dateisystem eines iPhone 4 mit iOS 4.2.1 und installierten dort einen SSH-Server, der beim Booten automatisch gestartet wird. Da selbst für aktuelle iOS-Versionen Jailbreaks verfügbar sind, die bereits während des Boot-Prozesses aktiv werden, schützt ein Passcode vor derartigen Eingriffen nicht. Und wenn man sich auf dem einmal aktiven System anmelden kann, hilft auch die Verschlüsselung des iPhones nicht mehr – denn das System entschlüsselt transparent alle Daten, die nicht zusätzlich gesichert wurden.

Auch wenn die abgespeicherten Passwörter in der sogenannten Keychain verschlüsselt abgelegt sind, kann transparent darauf zugegriffen werden und iOS entschlüsselt die Daten. Die Verschlüsselung muss also gar nicht erst geknackt werden. Die beiden Forscher haben sich einfach die Passwörter mit Hilfe einer App anzeigen lassen. Tolle Verschlüsselung.

Lesen Sie mehr →
ψ² = Ps(i)²

Cybercrime Schwarzmarkt

Ich hatte hier im Blog schon einige Male von Preisen für “Cybercrime Dienstleistungen” berichtet. Der Sicherheitsspezialist Panda Security hat jetzt einen Report zum Cybercrime Schwarzmarkt veröffentlicht, der das Thema umfassend beleuchtet. Hier ein kleiner Auszug, der meine Preisliste aktualisiert:

Kreditkarten Daten:
Je nach Qualität: 2-90$

Kreditkarten-Rohlinge:
Ab 190$ zzgl. Kreditkarten Daten

Kopierstationen für Kreditkarten:
200-1000$

Falsche Geldautomaten (komplett):
35.000$

Bankdaten:
80-700$ je nach Kontostand

Zugang zu Online Shops und Bezahldiensten:
Ab 10$

Design und Hosting von falschen Online Shops:
80-1500$

Der Report enthält zahlreiche Hintergrundinfos und reichlich Beispiele – sollte man gelesen haben.

Lesen Sie mehr →
ψ² = Ps(i)²

De Maizière warnt vor Cyber-Angriffen

Bundesinnenminister de Maizière hat im Welt Interview vor Cyber-Angriffen auf das Internet gewarnt. Ungefähr alle zwei bis drei Sekunden gebe es eine Attacke auf das deutsche Internet.

Das Internet ist inzwischen eine kritische Infrastruktur geworden. Das heißt, es muss wie Strom und Wasser immer verfügbar sein. (…) Etwa vier bis fünf Mal am Tag gibt es Angriffe auf das deutsche Regierungsnetz. Dabei gehen wir, ohne es sicher beweisen zu können, von der Beteiligung von Nachrichtendiensten anderer Länder aus. (…) Wir sind da im internationalen Vergleich nicht schlecht aufgestellt. Schon vor 20 Jahren, und das war eine strategische Meisterleistung von Wolfgang Schäuble mit großer Weitsicht, hat die Bundesrepublik das BSI gegründet, das Bundesamt für Sicherheit in der Informationstechnik. (…) Von dort höre ich: Wir sind gut, aber eben noch nicht gut genug.

Bitte? Der Innenminister h-ö-r-t vom BSI? Das Internet ist also so wichtig wie Wasser und der Minister hat sich mal vom BSI berichten lassen, wie es aufgestellt ist. Das kommt mir bekannt vor. Im Oktober hatte der Innenminister in der “Tagesschau” zum elektronischen Personalausweis festgestellt:

“Irgendwelche Hacker mögen immer irgendwas hacken können, aber die Zuverlässigkeit und Sicherheit des neuen Personalausweises steht nicht in Frage.”

Das der ePA sicher ist hatte er auch vom BSI gehört und was die Hacker da so hacken – alles halb so wild.

Lesen Sie mehr →
ψ² = Ps(i)²

Mehr Infos zu den Java-Schwachstellen

Am Montag hatte ich darüber geschrieben, dass Java den Adobe Reader als kritischste Anwendung abgelöst hat. Ich hatte dort auch den Oktober Patchday erwähnt, in dem mehrere kritische Schwachstellen gefixt wurden. Die gefixten Schwachstellen und die möglichen Angriffsszenarien wurden im Minded Security Blog in  drei Artikeln beschrieben.

Beim DNS-Rebinding geht es darum, dem Browser des Opfers einen falschen DNS-Server unterzuschieben um ihn unbemerkt zu manipulierten Inhalten zu locken. Wie das passiert hat Heise in einem Artikel erklärt, der dazu auch eine Grafik enthält (Klick auf kleine Abbildung). Bereits 2006 waren derartige Angriffe mit Java Applets veröffentlicht worden. Angreifer und Verteidiger liefern sich ja seit jeher ein nettes Katz-und-Maus-Spiel um Maßnahmen, Gegenmaßnahmen und Anti-Gegenmaßnahmen. So soll die Java Same Origin Policy einem Applet nur dann erlauben auf Objekte einer anderen Webseite zugreifen, wenn sie aus derselben Quelle stammt. Das soll Angreifern eigentlich das Leben schwer machen, was aber mit DNS-Rebinding ausgehebelt werden kann und nur zu mäßigen Erfolgen führt.

Lesen Sie mehr →
ψ² = Ps(i)²

“Das Problem sitzt vor dem Rechner”

“Das Problem bei der Sicherheit sitzt ja oft vor dem Rechner”, sagt Jens Fromm, Senior Researcher am Fraunhofer-Institut für Offene Kommunikationssysteme in Berlin. Und er sagt es auf einer Pressekonferenz zum neuen Personalausweis. Einer der anwesenden Journalisten ist vom Spiegel und der schreibt:

“Vor ein paar Jahren hat die Große Koalition nun mal entschieden, dass diese Probleme alle einen elektronischen Ausweis bekommen sollen.”

Und nun wird das Ding durchgezogen, egal wie gut oder schlecht der Personalausweis geworden ist. Allein schon deshalb, weil die kostenlosen Lesegeräte, von denen selbst das Innenministerium aus Sicherheitsgründen abrät, aus dem Konjunkturpaket II finanziert werden. Wer wollte schon den Aufschwung gefährden? Im Internet sein Auto ummelden, ein Konto eröffnen, eine Versicherung abschließen oder seine Rente abfragen – all das wird bald im Browser möglich sein.

Fromm lässt während der Pressekonferenz seinen Vorführ-Ausweis auf dem Lesegerät liegen. Einer der Journalisten meldet sich:

“Bitte, tun Sie mir einen Gefallen, Herr Fromm. Mir dreht sich der Magen um, wenn ich das sehe. Nehmen Sie den Ausweis von dem Lesegerät herunter.”

Herr Fromm kommt der Aufforderung nach. Eigentlich lächerlich, wenn man bedenkt, dass ein Angreifer ein Skript für sich arbeiten lassen würde, dass bereits in wenigen Sekunden hunderte von Konten eröffnen kann.

Wie hatte Thorsten Schröder vom CCC gesagt:

“Wir wollen vor allem darauf hinwirken, daß die zum Teil absurde Augenwischerei der Verantwortlichen bezüglich der realen Risiken für den Benutzer ein Ende findet.”

Lesen Sie mehr →
ψ² = Ps(i)²

OWASP-AppSec-2010-Vorträge zum Download bereit

Die Vorträge der diesjährigen OWASP-Konferenz von Mittwoch stehen nun zum Download bereit. Hier nochmal eine Übersicht über die Themen:

Keynote — Sebastian Klipper
Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8

Tom Brennan
Current State of OWASP Adoption

Matthias Rohr
Der OWASP ASVS Standard

Sascha Herzog
XML-Security – Brief introduction in the use of web service In B2B environments and backend integration

Martin Knobloch
Developing Secure Applications with OWASP

Sebastian Schinzel
Seitenkanalschwachstellen im Web erkennen und verhindern

Dr. Dirk Wetter
OWASP Top 10, die Vierte: Was t/nun?

Frederik Weidemann
Härtung von SAP HTTP- und Webservices

Dr. Ingo Hanke und Daniel Bartschies
Sicherheit von Webanwendungen als Massnahme zum Schutz personenbezogenener Daten – ein Entwurf für TOP10 des Datenschutzes

Andreas Schmidt
WATOBO – Web Application Toolbox

Alexander Meisel
Distributed Web Application Firewall (dWAF) die Applikation als neuer Security Perimeter (auch in der Cloud)

Lesen Sie mehr →
ψ² = Ps(i)²

AET spaltet die Antivirenhersteller

Stonesoft hat in Sachen Advanced Evasion Techniques (AET) nachgelegt (it-sa steht vor der Tür). Nachdem der Hersteller von Sicherheitssoftware am 04.10. mit einer Pressemitteilung die Diskussion um AET eingeläutet hatte, geht es nun also in die zweite Runde. Die eigentliche Botschaft:

“Den besten Schutz vor dynamischen und sich ständig weiterentwickelnden AETs bieten flexible, softwarebasierte Sicherheitssysteme mit zentralem Management und Remote-Update-Funktion.” ← Zitat aus der Pressemitteilung.

Stonesoft ist übrigens auch auf der it-sa zu sehen. Da kann man sich dann gleich mit “flexiblen, softwarebasierten Sicherheitssystemen mit zentralem Management und Remote-Update-Funktion” eindecken. Die Stand-Nummer wird netterweise in der Pressemitteilung mitgeliefert, da muss man als Leser nicht lange suchen, wenn man erst in Panik geraten ist.

Wenigstens hat die Tagespresse (WeltOnline, SpiegelOnline) nicht nur die Panikmache aufgegriffen, sondern auch die Skeptiker zu Wort kommen lassen. Dass Kassandra-Syndrom weitet sich also mittlerweile selbst auf die eigenen Branchenkollegen aus. Es fragt sich langsam, ob es sich noch um ein echtes Kassandra-Syndrom handelt – Kassandra hatte ja korrekte Warnungen auf Lager, denen keiner Gehör schenken wollte. Was ist, wenn die eine Kassandra etwas anderes prophezeit als die zweite? Mit dieser Frage lässt uns die griechische Mythologie leider alleine.

Lesen Sie mehr →