Auflistung aller Beiträge aus der Kategorie

Schwachstellen

Sicherheitsrisiko Türknauf – 38% der Räume unverschlossen

Bei einem meiner Sicherheitsaudits wollte ich es dann Mal ganz genau wissen: Schließt eigentlich irgendwer Türen mit Türknauf ab, oder lässt man die einfach “ins Schloss fallen”? Ein wenig Recherche im Internet wappnete mich mit allem, was man für den Einbruch benötigt: Eine längliche Plastikkarte und das Wissen über die richtige Technik bei deren Einsatz an der sogenannten Falle des Türschlosses (die Abbildung zeigt oben die Falle und unten den Riegel). Kreditkarten zerbrechen übrigens – das klappt nur im Film!

Es ging um die Kontrolle von Türen zu sicherheitsempfindlichen Bereichen, die alle mit einem Türknauf statt einer Klinke ausgestattet waren. Darunter auch das IT-Lager voller Laptops und Räume mit spezieller, teurer IT-Ausstattung. Die Kontrolle fand außerhalb der normalen Geschäftszeiten statt, also zu einer Zeit, in der die Bereiche dauerhaft verschlossen sein sollten. Das Gebäude selbst war für alle Firmenangehörigen rund um die Uhr zugänglich – unbemerkt und ohne Pförtnerdienst!

Das Ergebnis war nicht ganz so gut: 38% der Türen waren nicht verschlossen sondern nur geschlossen. Darunter auch das Lager mit den Laptops. Der Einbruch in die Räume war mir jeweils in wenigen Sekunden bis Minuten möglich. Die Räume während des nächtlichen Sicherheitsaudits durch die Schlüsselinhaber ordnungsgemäß verschließen zu lassen war da schon schwerer. ;-)

Ist der DROPS gelutscht?

Vor fünf Jahren wurde an der Uni Hannover ein Diskussionspapier vorgestellt, das unter dem handlichen Akronym DROPS einen Ansatz zur Modellierung der Sicherheit von Informationssystemen vorschlug. Das dimensions-relationale organisations- und problembezogene Sicherheitsmodell (DROPS) dient der Komplexitätsreduktion von Sicherheitsproblemen in betrieblichen Informationssystemen.

DROPS (Digital image content © 1997-2007 Hemera Technologies Inc., eine 100-prozentige Tochtergesellschaft von Jupiter Images Corporation. Alle Rechte vorbehalten.)

Nach der Beschreibung der Organisationssicht wird bei der Modellierung der Problemsicht die Komplexität schwachstellenbezogen reduziert. Dazu werden die beiden Sichten relational miteinander verbunden. ‘Was ist aus dem interessanten Ansatz geworden’, habe ich die Autoren Andreas Prieß und Dr. Gabriela Hoppe gefragt.

In einem Mailwechsel teilten mir die Autoren mit, dass es in den vergangen Jahren eher ruhig um ihren Ansatz geworden ist. Die zunächst angedachte Erweiterung des Modells um Elemente der Kosten- und Nutzenanalyse von Sicherheitsmaßnahmen wurde in dieser Zeit nicht  weiterverfolgt:

“Frau Hoppe und ich haben den DROPS-Ansatz nach der Veröffentlichung bisher nicht mehr weiterentwickelt. Hinsichtlich der Sicherheit von Informationssystemen lag der Fokus eher auf dem im DROPS-Artikel erwähnten Sicherheitskubus. (…)  Natürlich freuen wir uns, wenn Sie Gedanken aus DROPS aufgreifen und den Ansatz weiterentwickeln.”

Ist der DROPS also gelutscht? Was die wissenschaftliche Ausarbeitung angeht: Zum jetzigen Zeitpunkt ja! Trotz Allem lohnt sich ein Blick in das Ursprungsdokument, in dem auch der besagte Sicherheitskubus erwähnt wird. Im Buch “Sicherheit von Informationssystemen” der beiden Autoren wird der Ansatz detailierter vorgestellt (ISBN 978-3482525711).

Heiße Woche an der Krypto-Front

Neuer AES-Angriff

Unter dem Titel “Related-key Cryptanalysis of the Full AES-192 and AES-256” haben Alex Biryukov und Dmitry Khovratovich von der Universität von Luxenburg einen Ansatz vorgestellt, mit dem bessere Erfolge erziehlt werden können als mit Brute-Force-Methoden.

Als vorläufiges Ergebnis denken wir, dass die Kompexität einer Attacke gegen AES-256 von 2119 auf 2110.5 verringert werden kann.

Bruce Schneier stellt dazu fest:

Einverstanden. Obwohl dieser Angriff schneller ist als Brute-Force – und einige Kryptoanalytiker werden den Algorithmis deshalb als gebrochen benennen – liegt er immer noch weit, weit über den Möglichkeiten heutiger Rechner.

MD6 wieder in der Warteschleife

Der Algorithmus MD6 wurde vom Autor Ron Rivest wegen Sicherheitsbedenken aus der Cryptographic hash Algorithm Competition zurückgezogen. In der Competition wird der neue SHA-3 Algorithmus gesucht. Der Rückzug bedeutet jedoch nicht, dass MD6 unsicher wäre oder es Angriffe gäbe. Der Autor ist einfach noch nicht zufrieden – das ehrt ihn und Bruce Schneier komentiert:

Das ist ein erstklassiger Rückzug, so wie wir ihn von Ron Rivest erwartet haben – besonders wegen der Tatsache, dass es bisher keine Angriffe auf den Algorithmus gibt, während andere Algorithmen schwerwiegend angegriffen wurden und die Einreichenden weiter versuchen darauf zu bauen, dass es niemand mitbekommen hat.

200 Jahre alter Krypto-Code geknackt

Das berichtet das Wall Street Journal in einem Beitrag. Mehr als 200 Jahre lag der jetzt geknackte Code in Thomas Jefferson’s Unterlagen – eine verschlüsselte Nachricht, die bis heute nicht entschlüsselt wurde. Der Schlüssel ergibt sich aus: Anzahl der Zeilen in jedem Abschnitt, Reihenfolge der Zeilentransskription und die Anzahl der Zufallszahlen pro Zeile. Der Schlüssel war zu seiner Zeit zwar schwer zu knacken, aber mit 100.000 Rechenschritten durchaus zu brechen.

Update: Das *******-Problem bei der Passworteingabe

In Eingabemasken für Passwörter werden die Klartext-Zeichen üblicherweise durch *-Symbole ersetzt. Dies soll die Sicherheit der Anwendung erhöhen und das sogenannte Sholder-Surfing, den Blick über die Schulter, verhindern. Jakob Nielsen schreibt dazu in seinem Blog:

Es wird Zeit, Passwörter als Klartext anzuzeigen, wenn Anwender sie eingeben. Die meisten Webseiten (und viele andere Anwendungen) maskieren die Passwörter, wenn Anwender sie eingeben. Das verhindert die theoretische Möglichkeit das das Passwort mit einem Blick über die Schulter ausgespäht wird. Natürlich kann ein ambitionierter Krimineller immer noch die Tastenanschläge verfolgen, so dass die Passwort-Maskierung das Sholder-Surfing gar nicht ganz verhindert. Viel wichtiger: Meistens ist weit und breit niemand, der ihnen über die Schulter schauen könnte, wenn sie sich in einer Website einloggen. Da sitzen nur sie alleine in ihrem Büro und ertragen eine reduzierte Usability, um sich vor einer Gefahr zu schützen, die nicht existiert.”

Und er erhält dabei Unterstützung von Krypto Papst Bruce Schneier:

Dem stimme ich zu. Shoulder-Surfing ist nicht sehr gebräuchlich und Klartext-Passwörterreduzieren die Fehlerhäufigkeit. Es ärgert mich schon lange, wenn ich nicht sehe, was ich tippe: Bei Windows Logins, in PGP und so weiter.

Nunja, der Ansatz ist nicht von der Hand zu weisen: Wenn man sich die unmöglichsten Buchstaben, Zahlen und Sonderzeichen einfallen lassen soll, hilft es nicht gerade, dass man das Getippte nicht mehr sehen kann. Und um das Sholder-Surfing zu vermeiden, würde ein einfaches Optionsfeld reichen. In den meisten Situationen würde das leicht ausreichen und die Sicherheit letztlich erhöhen.

Update 30.06.2009:
Auch Kaspersky bringt einen Beitrag zu dem Thema. Der vollständige Artikel wurde in einem SANS-Blog gepostet.

2.720.800.000 verwundbare Programme allein in den USA

Vor einigen Monaten hat der Anbieter von Sicherheitssoftware Secunia die PSI Software für die private Nutzung zum Download freigegeben. Mittlerweile liegen umfangreiche Erkenntnisse vor, welche Schwachstellen der PSI auf den untersuchten PCs gefunden hat.

PSI Inspector

PSI Screenshot (Quelle: secunia.com)

Die bisherigen Ergebnisse können in der WorldMap tabellarisch dargestellt werden. Die Darstellung kann nach Security-Level und Anzahl der gepatchten und ungepatchten Programme granuliert werden.

Alleine in den USA gibt es 227.000.000 Internet User, von denen ca. 400.000 PSI nutzen und durchschnittlich vier ungepatchte Programme auf Ihren Systemen haben. Ohne PSI liegt der Durchschnitt nach Angaben von Secunia bei zwölf ungepatchten Programmen. Drei Millionen Programme wurden demnach durch den Einsatz von PSI gepatcht.

Wirklich interessant ist die Hochrechnung der verwundbaren Installationen für ganz Amerika: rund 2.7 Milliarden verwundbare Programme!

PSI Partner Manager, Mikkel Winther, zu den Zahlen: “Ich bin sehr überrascht, wir wussten, dass es schlimm werden würde, konnten uns die enorme Tragweite des Problems jedoch nicht ausmalen. PC User müssen patchen! Sie müssen all ihre verwundbaren Programme patchen und das so schnell wie möglich nachdem das Patch vom Hersteller zur Verfügung gestellt wird. Das zu unterlassen ist wie Russisches Roulette”

Bei Twitter die Einbrecher nach Hause bestellen

twitter-LogoDas macht natürlich keiner bewusst. Aber vielleicht aus versehen. So berichtet es USA today und Bruce Schneier in seinem Blog.

Israel Hyman und seine Frau Noell aus Mesa, Arizona posteten ihre Echtzeit-Erlebnisse aus dem Urlaub bei Twitter. Sie würden sich auf die Abfahrt vorbereiten oder sie hätten noch weitere 10 Stunden Fahrt vor sich und dass sie es nach Kansas City geschafft hätten. Während solche Postings im Netz landeten wurde ihr Zuhause in Arizona ausgeräumt. Für Hyman ist die Sache klar: Die Einbrecher haben sich von den Twitter-Beiträgen einladen lassen: “I forgot that there’s an inherent danger in putting yourself out there.”

Wie dem auch sei – für mehr Sicherheit hat die “Berichterstattung” sicher nicht gesorgt.

PS: Falls mich jetzt jemand ausrauben will: Ich bin immer Zuhause: Tag und Nacht! Und die Dinge für den täglichen Bedarf bestelle ich online bei SCHLECKER und Co. ;-)

Neues für die Cybercrime-Preisliste: GOLDEN CA$H

Der Security-Anbieter finjan hat seinen Cybercrime Intelligence Report veröffentlicht, in dem er über die Botnetz-Plattform Golden-Cash berichtet. Die Liste für die Preise bezieht sich jeweils auf 1000 infizierte PCs. 1000 Bots in Deutschland: 30$; Mindestpreis 5$; Höchstpreis 100$; Russische Bots gibt es geschenkt und ein Ländermix ist für 20$ zu haben. Das erweitert die Preisliste für Cybercrime, die ich mit den Beiträgen Was kostet den nun ein Angriff und Für 55 Millionen Dollar kostenlos telefonieren begonnen habe.

GOLDEN CASH Logo

Heise security titelt treffend: Ein Botnetz? Geschnitten oder im Stück? Zusammengefasst ergibt das die folgende Liste:

Admin-Account im Online-Shop mit bis zu 6500 Kunden
30$

DDOS-Angriff auf einen Webauftritt
50$ pro Tag

200 VISA-Kreditkarten Hologramme
1500$

Hologramme von Mastercard und VISA
6$ pro Stück (Mindestbestellmenge: 3; zzgl. Versand: 50$-75$)

Escrow Viren-Variante
350$

Gehackte Telefonanlage für kostenlose Ferngespräche
100$

1000 Bots in Deutschland via Golden Cash
30$

1000 Bots in Australien via Golden Cash
100$

1000 Bots im Ländermix via Golden Cash
20$

Und immer wieder PDF-Angriffe

Wer bisher gedacht hat, mit PDF-Dateien in Sachen Sicherheit nicht viel falsch machen zu können, dem wird jeden Tag mit neuen Schlagzeilen gezeigt, dass er irrt. Zu vier Angriffsvarianten die der Security-Analyst Didier Stevens vorgestellt hat berichtete ich bereits.

Nun kommen Berichte über Schwachstellen in Virenscannern hinzu, die beim Scannen von PDF-Dateien zu Problemen führen, die einen Agriff mittels PDF-Dateien erleichtern. Thierry Zoller berichtet in seinem Blog ausführlich zu den Schwachstellen, die sich hauptsächlich auf die Parser der Virenscanner beziehen.

Seine einleitenden Sätze werfen kein gutes Licht auf die Hersteller:

Security notification reaction rating : Catastropic. Not only did the headquarter not answer, they (tried) to patch this vulnerability silently, only to fail at it.

Und der Fehler ist denkbar einfach:  Wie gesagt, Ursprung des Übels sind die Parser der Virenscanner. Jedes PDF-File startet mit den Zeichen “%PDF” und endet mit “%%EOF”. Alles was dazwischen kommt wird geparst und interpretiert – und – PDF-Dateien werden von unten nach oben gelesen. Einige PDF-Programme scheren sich nicht darum, was vor dem “%PDF” kommt und der Kaspersky-Parser auch nicht dafür, was dazwischen stattfindet. Viel leichter kann es einem Angreifer also kaum gemacht werden:

“Normales” Schad-PDF, dass vom Virenscanner gefunden wird:

%PDF
Schad-Code
%%EOF

Schad-PDF, bei dem der Parser versagt:

Hier irgendwelcher Text
%PDF
Schad-Code
%%EOF

Der Parser erkennt das PDF-File jetzt nicht mehr als solches und PDF-Reader wie Adobe Reader und Foxit-Reader nehmen es mit den Anfangs- und Endmarken der Dateien nicht ganz so ernst und öffnen sie trotzdem – fertig ist der Angriff.

Für 55 Millionen Dollar kostenlos telefonieren

Geldbündel (Digital image content © 1997-2007 Hemera Technologies Inc., eine 100-prozentige Tochtergesellschaft von Jupiter Images Corporation. Alle Rechte vorbehalten.)DAS hört sich verlockend an – außer für den, dem die Einnahmen in gleicher Höhe entgehen. Brian Krebs berichtet in seinem Blog über die Anklageerhebung durch das US-Justizministerium gegen drei Verdächtige, denen vorgeworfen wird tausende privater Telefonanlagen gehackt und dann die Nutzung dieser Anlagen über Callcenter in Italien verkauft zu haben – gegen einen kleinen Obulus für die Hacker versteht sich. Zugang zu den Telefonanlagen erhielten die Angreifer über voreingestellte Herstellerpasswörter, die von den zahlenden Kunden nicht geändert worden ware. Entstandener Schaden: 55 Millionen Dollar!

Das sind zwölf Millionen Minuten internationaler Telefongespräche über den Zeitraum von 2005 bis 2008. Die Anklageschrift können Sie ebenfalls bei Brian Krebs herunterladen.

100$ musste das Callcenter in Italien für jeden Account bezahlen. Das erweitert die Preisliste, die ich vor zwei Tagen hier gepostet hatte.

Was kostet denn nun ein Angriff?

Geldübergabe30$ für einen Admin-Account im Online-Shop mit 10-6500 Kunden inklusive deren Kreditkarteninformationen. Oder 50$ pro Tag für einen DDOS-Angriff auf einen Webauftritt. 200 VISA-Kreditkarten Hologramme? Kein Problem: 1500$. Lieber die Hologramme von Mastercard und VISA? Nichts leichter als das: 6$ pro Stück (Mindestbestellmenge: 3; zzgl. Versand: 50$-75$). Oder wollen Sie einen eigenen Virus? Eine Escrow-Variante gibt’s für 350$.

So waren die üblichen Preise auf DarkMarket. Bezahlung jeweils bequem über e-gold.com. Die passenden Screenshots findet man im f-secure.com Weblog. Interessanter wird es, wenn es, wie im folgenden Beispiel, preislich in die Millionen geht.

Im Wiki für durchgesickerte Informationen WikiLeaks wurde vor kurzem ein Lösegeld von 10 Millionen Dollar gefordert. Lösegeld? Was wurde denn gekidnappt? Die Daten von über acht Millionen Patienten aus dem Bundesstaat Virginia. Besonders ärgerlich: Der Hacker hat die Daten gelöscht und die Backups verschlüsselt – das Passwort gibt’s nach der Überweisung des Lösegelds.

The Register berichtete bereits im November 2008 von einer Belohnung, die für Hinweise zu einer Cyber-Erpressung ausgesetzt wurde: Eine Millionen Dollar! Die Betroffenen haben also längst zum finanziellen Gegenangriff geblasen.

Stellt sich die Frage, ob der Datenverlust für ein Information-Security-Budget von einer Millionen Dollar nicht zu verhindern gewesen wäre? Die Zahlen sind übrigens ganz nett für eine Musterrechnung zum Return on Information Security Invest nach Mizzi.