Auflistung aller Beiträge aus der Kategorie

Tutorial

ψ² = Ps(i)²

iPad-Bilderrahmen sperren

Wenn man sein iPad vor unbefugtem Zugriff schützen möchte, kann man in den allgemeinen Einstellungen die Code-Sperre aktivieren. Schaltet man das iPad ein, wird man dann aufgefordert, es zu entriegeln:

In der Standardeinstellung sieht man neben dem Schieber zusätzlich ein kleines Blumen-Symbol. Wenn man auf das Symbol zeigt, aktiviert man die Bilderrahmenfunktion des iPads, ohne dass zuvor der eingestellte Code abgefragt wird.

Wenn man das iPad als Bilderrahmen im Büro verwenden möchte – auch wenn es gesperrt ist – dann ist die Standardeinstellung möglicherweise interessant. In den allermeisten Fällen möchte man allerdings mit der Code-Sperre erreichen, dass alle Daten auf dem iPad vor unbefugten Zugriff geschützt sind. Dazu zählen natürlich auch aufgenommen und übertragene Bilder. Hierzu muss man die Einstellungen der Code-Sperre anpassen:

Nachdem man den zuvor eingestellten Code eingegeben hat, kann man im nächsten Menü die Bilderrahmenfunktion deaktivieren:

Danach führt das Sperren des iPads tatsächlich dazu, dass alle Daten – also auch die Bilder – geschützt sind und auch das Blumen-Symbol ist verschwunden:

Lesen Sie mehr →
ψ² = Ps(i)²

https mit Safari auf dem iPad

Wie man in einem Standardbrowser erkennt, ob man eine Verschlüsselte Webseite geöffnet hat oder nicht, sollte hinlänglich bekannt sein. Wie aber erkennt man das mit dem iPad Standard-Browser Safari?

1. unverschlüsselte Seiten

Fangen wir mit der einfachsten Übung an: unverschlüsselte Seiten. Wie erkennt man, dass die aufgerufene Webseite kein SSL verwendet? Sie müssen dazu lediglich auf das Adressfeld in der Titelleiste tippen und schon wird neben der Adresse der Webseite auch das verwendete Protokoll (HTTP oder HTTPS) angezeigt:

2. verschlüsselte Seiten

Einfacher wird es, wenn es darum geht eine verschlüsselte Seite zu erkennen. Dies zeigt Safari über dem Adressfeld durch ein kleines Schloss-Symbol an. In diesem Fall werden Schloss und Schrift grau angezeigt. Zeigt man mit dem Finger auf das Adressfeld, so erscheint hier die vollständige URL mit dem verwendeten Protokoll:

3. EV-Zertifikate

EV-Zertifikate kann man genauso erkennen. Einziger Unterschied ist, dass das Schloss und die Schrift nicht in grau sondern in grün dargestellt wird:

Lesen Sie mehr →
ψ² = Ps(i)²

TaskManager.xls

Haben Sie sich auch schon mal darüber geärgert, auf einem System nicht auf den Task Manager zugreifen zu können? In manchen Firmen ist das aus unerfindlichen Gründen gesperrt. Das ist immer dann ärgerlich, wenn man einzelne Prozesse los werden möchte, oder sich Klarheit darüber verschaffen will, welche Prozesse überhaupt am Laufen sind. Security Researcher Didier Stevens hat jetzt einen vba-basierten Task Manager zum Download bereitgestellt, der das Problem löst. Ein wirklich nützliches Tool!

Lesen Sie mehr →
ψ² = Ps(i)²

PDF-Analyse mit Didier Stevens

Eigentlich war das jetzt kostenlos erhältliche e-Book “Analyzing Malicious PDF Files” als Kapitel für ein Buch geplant, dass jedoch vom Haupt-Autor abgebrochen wurde. Daher gibt es das e-Book jetzt als pdf-download. Ich wiederhole: PDF-DOWNLOAD.

Naja: es wird schon kein Trojaner oder so drin sein – und wenn doch, dann steht in dem pdf-File, wie man das herausfindet…

Lesen Sie mehr →
ψ² = Ps(i)²

WebApp Fingerprinting mit BlindElephant

Wer wissen will, mit welcher Software eine Webseite betrieben wird, der kann einen Blick in das generator-Tag des Seitenquelltexts werfen. Das sieht dann zum Beispiel so aus:

<meta name="generator" content="WordPress 3.0" />

Erstens kann das bewusst verfälscht worden sein und in vielen Fällen werden keine Subversionierungen angezeigt. Will man also wissen, ob eine Webseite für eine bestimmte Schwachstelle gepatcht wurde, oder nicht, muss man genauer nachforschen. Der BlindElephant WebApp Fingerprinter ist dazu da, die Version einer bekannten Webapplikation herauszufinden. In unserem Beispiel von oben wäre das die Blog-Software WordPress. BlindElephant kann aktuell die folgenden Produkte erkennen:

  • WordPress (inklusive einiger Plugins)
  • Drupal (inklusive einiger Plugins)
  • Joomla
  • MediaWiki
  • MovableType
  • phpBB
  • PHP-Nuke
  • Liferay
  • Moodle
  • osCommerce
  • phpMyAdmin
  • SPIP

Das in Python programmierte Tool vergleicht dazu vorhandene Dateien auf dem Server gegen Hash-Werte der verschiedenen Versionen. Diese Methode ist schnell, schont die Bandbreite und ist sehr flexibel einsetzbar. Um das Tool zu nutzen reicht es aus, den Tarball herunterzuladen und in einem beliebigen Verzeichnis zu entpacken. Eine Installation mit python setup.py install ist nur nötig, wenn man beabsichtigt das Tool als Library zu verwenden. Danach ist das Tool extrem einfach zu bedienen:

python BlindElephant.py http://example.com wordpress

Nach diesem Befehl rattert der blinde Elefant nun alle möglichen WordPress-Dateien auf dem Server durch und verbessert seinen Tipp, um welche Version es sich handelt. Am Ende kommt er zu einer Einschätzung:

Fingerprinting resulted in:
3.0
3.0-IIS
3.0-RC1
3.0-RC1-IIS
3.0-RC2
3.0-RC2-IIS
3.0-RC3
3.0-RC3-IIS
Best Guess: 3.0

Also insbesondere bei der Unterscheidung der Vorabversionen gibt es Schwierigkeiten, weil die Unterscheidungsmöglichkeiten am kleinsten sind. Die Trefferquote ist jedoch sehr hoch. Wer übrigens tatsächlich versucht example.com zu scannen, der bekommt die Fehlermeldung zu sehen, die BlindElephant zeigt, wenn man mit der Webseiten-Software daneben lag:

File produced no match. Error: Error code: 404 (Not Found)
(...)
Error: All versions ruled out!

Example.com wird also nicht mit WordPress betrieben! Für diese Erkenntnis hat sich das Tool doch schon gelohnt.

Was man mit dem Tool noch so alles anfangen kann, hat Qualys auf der letzten BlackHat in Las Vegas gezeigt und dazu Folien und ein Whitepaper veröffentlicht.

Lesen Sie mehr →
ψ² = Ps(i)²

In 6 Schritten zu einer gehärteten WordPress

Wer mit WordPress seine Webseiten gestalten will kommt schnell zu Erfolgserlebnissen. WordPress ist einfach zu bedienen und fast genauso einfach zu installieren. Wenn man jedoch etwas mehr Sicherheit wünscht, ist Handarbeit gefragt. Dabei einen Fehler zu machen, könnten an manchen Stellen ziemlichen Ärger bedeuten – also sorgfältig arbeiten und sorgfältig überlegen, ob ich in meiner Anleitung nicht irgendetwas vergessen oder falsch beschrieben habe!

  1. Daten sichern
  2. Konfigurationsdatei “wp-config.php” absichern
  3. Benutzerverwaltung absichern
  4. Admin-Konto absichern
  5. Anmeldung via SSL
  6. Tabellenpräfix “wp_” ändern (nur für Bastler)

Mit diesen 6 Schritten können Sie Ihre WordPress ein ganzes Stück sicherer machen. Wir gehen nun im Detail auf die Punkte ein und am Ende finden Sie noch einen Hinweis dazu, wie Sie die WordPress während dieser Arbeiten in einen Wartungsmodus versetzen können. Wir beginnen mit der Datensicherung:

Lesen Sie mehr →
ψ² = Ps(i)²

GoogleDiggity automatisiert Google-Hacking

Das Google Hacking Diggity Project hat den Scanner GoogleDiggity in der Version 0.1 veröffentlicht. Das Kommandozeilentool bringt 1623 Anfragen mit und liefert die Ergebnisse einer Suchanfrage als txt-Datei. Das Tool selbst behauptet zwar nicht mehr als 64 Suchanfragen am Stück abzuarbeiten, weil das gegen die Google-AGB verstoße, macht es dann aber offenbar trotzdem für alle 1623 Anfragen in einem Rutsch, was bei mir etwa 10 Minuten gedauert hat:

GoogleDiggity.exe -f "GHDB and FSDB - All.txt" -d example.com

Wenn die erstellte Datei output.txt am Ende so aussieht ist alles in Ordnung:

GoogleDiggity - http://www.stachliu.com
Started GoogleDiggity Scan: 02.08.2010 13:13:06
Command Line: GoogleDiggity.exe -f GHDB and FSDB - All.txt -d example.com
Main Category Secondary Category Search String Title Content URL (...)
-> Hier sollte besser nichts stehen!
Finished GoogleDiggity Scan: 02.08.2010 13:23:49

An der rot markierten Stelle im Listing sollte besser nichts stehen. In diesem Fall gilt: No news is good news! Ob die Suche überhaupt funktioniert hat, kann mit dem folgenden Befehl getestet werden (http://example.com/):

GoogleDiggity.exe -q "RFC 2606" -d example.com

Das Ergebnis sollte die folgenden Informationen enthalten:

Title: Example Web Page
Content: These domain names are reserved for use in documentation and are not available for registration. See <strong>RFC 2606</strong>, Section 3.
URL: http://www.example.com/
Google Cache URL: http://www.google.com/search?q=cache:oMLrRbSxI5MJ:www.example.com

Die Zeile mit dem Suchtreffer wird in der Spalte Content angezeigt.

Lesen Sie mehr →
ψ² = Ps(i)²

Ps(i)² Testbericht: chaRMe 0.7.0

Im Rahmen des ISO-27001-Programms “Sicherheit mit System” bin ich zum ersten Mal mit chaRMe in Berührung gekommen. Im Rahmen der Recherche zu meinem neuen Buch “Information Security Risk Management mit ISO/IEC 27005″ geht es in einem ganzen Kapitel nur um Softwaretools zum Risikomanagement. Auch zu chaRMe wird es einen eigenen Abschnitt geben. Einen ersten Überblick gibt es bereits hier im Blog:

chaRMe ist ein Open Source Information Security Risk Management Framework, das bei der Implementierung eines ISMS nach ISO/IEC 27001 unterstützt. Es steht unter der AGPL und ist in seiner aktuellsten Version 0.7.0 nun auch als Online-Demo verfügbar. Hauptsächliche Triebfeder hinter der Entwicklung des Frameworks ist die Leonberger Firma secopan.

Anmeldung

Wer das Tool ausprobieren möchte, muss sich registrieren. Dazu benötigt man nichts weiter als eine gültige E-Mail-Adresse, die laut Webseite nur so lange auf dem System gespeichert wird, bis die Anmeldung abgeschlossen ist. Hat man diesen Schritt hinter sich, kann man sich am System anmelden und landet direkt im Hauptmenü.

Der erste Eindruck

Man sagt ja gerne, der erste Eindruck entscheidet: Das Hauptmenü ist aufgeräumt und übersichtlich. Es dient Hauptsächlich dazu, Assessments anzulegen und zu verwalten. Daneben stehen die Menüpunkte Gefährdungen, Maßnahmen und Assets zur Verfügung. Der Erste Eindruck: Positiv. Fangen wir mit den Details an:

Gefährdungen

Hinter der Schaltfläche Gefährdungen verbergen sich ganz offensichtlich eine Teilmenge der Gefährdungen aus den BSI IT-Grundschutzkatalogen, die aber noch nicht vollständig erfasst worden sind. Zumindest ist daran gedacht, dass ISO 27001 auch im Grundschutzumfeld funktionieren sollte. Wer (wie ich) denkt, die Schaltflächen würden nicht funktionieren, der irrt sich (auch wie ich). Will man den Text einer Gefährdung editieren erscheint oben links ein zusätzliches Eingabefeld, dass man leicht übersehen kann.

Maßnahmen

Hinter der Schaltfläche Maßnahmen verbirgt sich eine lange Tabelle. Unter der Kategorie iso27001 finden sich dort die Sections, Sub-Sections und Controls der ISO/IEC 27002. Wer darüber hinaus zusätzliche Maßnahmen definieren will, kann dies jederzeit über die Schaltfläche neue Maßnahme erledigen:


Die Maßnahmen der ISO/IEC 27002 können über die Schaltfläche bearbeitet werten. Wenn man das macht, bekommt man den Hinweis:

Copy ISO 27002 in here or order the data package from secopan http://www.secopan.de

OK – Open Source hört da auf, wo das Copyright der ISO anfängt. Zumindest sollte man wissen, dass man sich die “Handarbeit” sparen kann und es Importpakete gibt. Auf Anfrage teilte mir Secopan mit, dass ein ISO/IEC 27002 Importpaket derzeit 750.- Euro kostet. Das Paket enthält je eine Version von ISO/IEC 27001 und 27002 und darüber hinaus ein zusätzliches Threat- und ein Asset-Paket, die den Start erleichtern sollen.

Assets

In der Ansicht Assets schließlich können die Assets definiert und mit den Gefährdungen verknüpft werden, was für einige Assets bereits gemacht wurde:

Neues Assessment

Wirklich spannend wird es allerdings erst in der Ansicht Neues Assessment. Hier leitet chaRMe den Benutzer durch den gesamten Prozess des Assessments. Von der Definition des Geltungsbereichs bis zur Dokumentation in Form eines Berichts, der sich auch per pdf exportieren lässt. Jeder Prozessschritt wird jeweils in der Fußleiste (Schnellnavigation) der Seite mit einem zusätzlichen roten Button quittiert, über den man auch wieder zurück zu den bereits erledigten Schritten gelangt.

Das Assessment erfolgt, entlang den Vorgaben der ISO/IEC 27001, in den folgenden Schritten:

  • Definition des Geltungsbereichs
  • Compliance Anforderung definieren
  • Inventar erfassen
  • Risikoanalyse
  • Globale Maßnahmen festlegen
  • Weitere Maßnahmen
  • Risikobehandlung
  • Dokumentation

Mehr Informationen zu den einzelnen Schritten wird es dann in meinem Buch geben.

Fazit

chaRMe ist bereits in seiner Version 0.7.0 eine echte Unterstützung fürs Risikomanagement. Es wird bereit erfolgreich in mehreren deutschen Unternehmen eingesetzt und ist auf dem besten Weg in Richtung einer Version 1.0.

Lesen Sie mehr →
ψ² = Ps(i)²

Sicheres Löschen von Solid-State-Festplatten

Es ist eigentlich nichts Neues, dass Techniker etwas tolles erfinden, alle ganz begeistert sind und dann die Security-Leute den ganzen Spaß verderben. So war das auch schon beim IPS. Sie wissen nicht, was IPS ist? Intelligent Protection System? Internet Protokoll Suite? Intrusion Prevention System? Keine schlechten Ideen. Die Bedeutung die ich meine, lautet jedoch In-Plane-Switching. Ein Fachbegriff, der, für den Fall das man ihn nicht versteht, zumindest bestens geeignet ist um damit anzugeben – Rückfragen praktisch ausgeschlossen. Selbst Wikipedia weiß erst nach einigem Suchen Rat.

Wie dem auch sei. Unter anderem IPS führt dazu, dass ihr Bildschirminhalt auch mit einem ungünstigen Winkel zum Gerät gut lesbar bleibt. Ja und genau das gefällt den Security-Leuten ja nicht, weshalb sie mit Polarisationsfilter-Folien die technischen Errungenschaften in Sachen Flüssigkristallbildschirme zunichte machen und u.a. die sogenannte Blickwinkelabhängigkeit des Kontrastes, die durch das IPS verbessert wird, in die Steinzeit zurückversetzen. Einfach auf den Bildschirm stecken und schon ist in Sachen Blickwinkel wieder alles beim Alten. Wie in den guten, alten 286er-Zeiten.*

Im Moment sind sogenannte Solid-State-Festplatten im Vormarsch. Vom Wort her scheinbar das visionäre Gegenteil zu Cloud-Speicherplatz. Auch das ist übrigens so eine Errungenschaft, die den Security-Leuten keinen richtigen Spaß machen will (Top Cloud Security Threats Research Report und ISACA: Cloud Computing Risiken überwiegen die Vorteile ). Aber zurück zu den Solid-State-Festplatten: Was soll an denen problematisch sein?

Grundsätzlich ist es bei diesen Speichern leider nicht möglich, gezielt Blöcke auf dem Speicher zu überschreiben, aber genau darum geht es beim sicheren Löschen einer Datei. Gewissermaßen hat das Betriebssystem keine Ahnung, wo die Solid-State-Platte die Daten hinschreibt, und wo nicht. Ein Problem, dass es ähnlich übrigens u.A. auch bei NTFS-Laufwerken gibt. Weder Tools wie wipe oder shred funktionieren mit diesen Platten, wenn man nur einzelne Dateien löschen möchte. Das Überschreiben bringt dann nicht viel, auch wenn man es 35 Mal macht. Es sei denn, man tut es mit der gesamten Platte, die man ohnehin besser komplett verschlüsseln sollte.USB-Sticks sind übrigens auch Solid-State-Speicher. Es gilt also: Wenn schon Löschen, dann den gesamten Speicher!

Lesen Sie mehr →
ψ² = Ps(i)²

CVSS-Scores selbst berechnen und anwenden

In meinem aktuellen Projekt musste ich am Rande mit CVSS-Scores arbeiten. Dazu kommt es üblicherweise, wenn man Soft- und Hardware-Schwachstellen bewerten soll. Wenn die Anzahl der zu bewertenden Schwachstellen entsprechend groß ist, verliert man leicht den Überblick. Dafür gibt es die CVSS-Scores. So sehen sie aus: AV:L/AC:H/Au:M/C:C/I:P/A:P/E:U /RL:TF/RC:UC/CDP:LM/TD:H/CR:M/IR:L/AR:H Und schon weiß man Bescheid.

Naja, vielleicht nicht ganz. Um mehr Klarheit zu schaffen gibt es neben dem eher kryptisch anmutenden CVSS-Vektor einen Zahlwert zwischen 0 und 10, den man auch grafisch darstellen kann – grün ist gut, rot ist schlecht:

Ja: jetzt erkennt man mehr – nur was man da erkennt ist natürlich die Frage. Das Common Vulnerability Scoring System (CVSS) ist ein offenes Framework, mit dem man Schwachstellen aus verschiedenen Perspektiven bewertet, um am Ende einen standardisierten Wert zu erhalten. In diesem Fall 5,4 – also ein mittlerer Wert.

Dieser setzt sich aus mehreren anderen Werten zusammen, die drei Gruppen angehören: Base, Temporal und Environmental – also Basis, Temporär und Umgebung.

Base Score Metrics

Hier geht es darum, zu bewerten wie leicht oder schwer ein Angriff auf eine Schwachstelle durchzuführen ist und darum, welchen Schaden man anrichten kann. In IT-Kauderwelsch heißt das: “Die Base-Score-Metrics setzen sich aus dem Exploitabiliy-Subscore – also Access-Vector, Access-Complexity, Authentication – und dem Impact-Subscore zusammen – also dem Confidentiality-, Integrity- oder Availability-Impact”.

Environmental Score Metrics

Hier spielt das Unternehmen oder die Behörde, in der man sich befindet eine Rolle. In wie weit ist man dem Angriff ausgeliefert und welchen Schutzbedarf hat man? IT-Kauderwelsch: “Die Environmental-Score-Metrics setzen sich aus den General-Modifiers – also Collateral-Damage-Potential und Target-Distribution – und den Impact-Subscore-Modifiers zusammen – also den Confidentiality-, Integrity- oder Availability-Requirements”.

Temporal Score Metrics

Hier kommt der Faktor Zeit zum Tragen: Eine Schwachstelle die noch nicht gepatcht ist, ist schlimmer, wie eine, bei der es schon ein Hersteller-Patch gibt. Handelt es sich nur um eine Idee für einen Angriff oder wurde schon bewiesen dass der Angriff funktioniert? Auch hier wieder in IT-Kauderwelsch: “Die Temporal-Score-Metrics setzen sich aus der Exploitability, dem Remediation-Level und der Report-Confidence zusammen”

Was bringt das Ganze?

Der Vorteil der CVSS-Scores besteht nun darin, den Kauderwelsch in Management-Deutsch übersetzen zu können: grün, orange, rot.

  • Grün: gut!
  • Orange: aufpassen!
  • Rot: heiß, aua!

Im Vergleich zwischen vielen Schwachstellen kann man mit CVSS-Scores die Entscheidung transparent machen, welches Problem man zuerst angeht. Wenn Sie wissen wollen wie sich der Wert genau zusammensetzt, finden Sie diese Informationen auf den Seiten der National Vulnerability Database.

CVSS-Rechner

Damit sich auch der Fachmann nicht allzu lange mit den Werten ärgern muss, gibt es eine ganze Reihe von Tools, mit denen man schnell produktiv werden kann:

Mein Favorit ist der Plattform unabhängige CVSS-Calculator von Goebel Consult. Für private Nutzung und für die Nutzung in Unternehmen bis 49 Mitarbeitern ist das Tool kostenlos und es kann CVSS-Vektoren mit cut-and-paste verarbeiten. Eine deutsche Übersetzung findet man bei der Münchener Firma Goebel Consult leider nicht, dafür aber in Japan bei der Information-Technology Promotion Agency. Und schön gestaltet ist deren Online-Demo ebenfalls.

Lesen Sie mehr →