In der Standardeinstellung sieht man neben dem Schieber zusätzlich ein kleines Blumen-Symbol. Wenn man auf das Symbol zeigt, aktiviert man die Bilderrahmenfunktion des iPads, ohne dass zuvor der eingestellte Code abgefragt wird.

Wenn man das iPad als Bilderrahmen im Büro verwenden möchte – auch wenn es gesperrt ist – dann ist die Standardeinstellung möglicherweise interessant. In den allermeisten Fällen möchte man allerdings mit der Code-Sperre erreichen, dass alle Daten auf dem iPad vor unbefugten Zugriff geschützt sind. Dazu zählen natürlich auch aufgenommen und übertragene Bilder. Hierzu muss man die Einstellungen der Code-Sperre anpassen:

Nachdem man den zuvor eingestellten Code eingegeben hat, kann man im nächsten Menü die Bilderrahmenfunktion deaktivieren:

Danach führt das Sperren des iPads tatsächlich dazu, dass alle Daten – also auch die Bilder – geschützt sind und auch das Blumen-Symbol ist verschwunden:

1. unverschlüsselte Seiten

Fangen wir mit der einfachsten Übung an: unverschlüsselte Seiten. Wie erkennt man, dass die aufgerufene Webseite kein SSL verwendet? Sie müssen dazu lediglich auf das Adressfeld in der Titelleiste tippen und schon wird neben der Adresse der Webseite auch das verwendete Protokoll (HTTP oder HTTPS) angezeigt:

2. verschlüsselte Seiten

Einfacher wird es, wenn es darum geht eine verschlüsselte Seite zu erkennen. Dies zeigt Safari über dem Adressfeld durch ein kleines Schloss-Symbol an. In diesem Fall werden Schloss und Schrift grau angezeigt. Zeigt man mit dem Finger auf das Adressfeld, so erscheint hier die vollständige URL mit dem verwendeten Protokoll:

3. EV-Zertifikate

EV-Zertifikate kann man genauso erkennen. Einziger Unterschied ist, dass das Schloss und die Schrift nicht in grau sondern in grün dargestellt wird:

Naja: es wird schon kein Trojaner oder so drin sein – und wenn doch, dann steht in dem pdf-File, wie man das herausfindet…

<meta name="generator" content="WordPress 3.0" />

Erstens kann das bewusst verfälscht worden sein und in vielen Fällen werden keine Subversionierungen angezeigt. Will man also wissen, ob eine Webseite für eine bestimmte Schwachstelle gepatcht wurde, oder nicht, muss man genauer nachforschen. Der BlindElephant WebApp Fingerprinter ist dazu da, die Version einer bekannten Webapplikation herauszufinden. In unserem Beispiel von oben wäre das die Blog-Software WordPress. BlindElephant kann aktuell die folgenden Produkte erkennen:

• WordPress (inklusive einiger Plugins)
• Drupal (inklusive einiger Plugins)
• Joomla
• MediaWiki
• MovableType
• phpBB
• PHP-Nuke
• Liferay
• Moodle
• osCommerce
• phpMyAdmin
• SPIP

Das in Python programmierte Tool vergleicht dazu vorhandene Dateien auf dem Server gegen Hash-Werte der verschiedenen Versionen. Diese Methode ist schnell, schont die Bandbreite und ist sehr flexibel einsetzbar. Um das Tool zu nutzen reicht es aus, den Tarball herunterzuladen und in einem beliebigen Verzeichnis zu entpacken. Eine Installation mit python setup.py install ist nur nötig, wenn man beabsichtigt das Tool als Library zu verwenden. Danach ist das Tool extrem einfach zu bedienen:

python BlindElephant.py http://example.com wordpress

Nach diesem Befehl rattert der blinde Elefant nun alle möglichen WordPress-Dateien auf dem Server durch und verbessert seinen Tipp, um welche Version es sich handelt. Am Ende kommt er zu einer Einschätzung:

Fingerprinting resulted in:
3.0
3.0-IIS
3.0-RC1
3.0-RC1-IIS
3.0-RC2
3.0-RC2-IIS
3.0-RC3
3.0-RC3-IIS
Best Guess: 3.0


Also insbesondere bei der Unterscheidung der Vorabversionen gibt es Schwierigkeiten, weil die Unterscheidungsmöglichkeiten am kleinsten sind. Die Trefferquote ist jedoch sehr hoch. Wer übrigens tatsächlich versucht example.com zu scannen, der bekommt die Fehlermeldung zu sehen, die BlindElephant zeigt, wenn man mit der Webseiten-Software daneben lag:

File produced no match. Error: Error code: 404 (Not Found)
(...)
Error: All versions ruled out!

Example.com wird also nicht mit WordPress betrieben! Für diese Erkenntnis hat sich das Tool doch schon gelohnt.

Was man mit dem Tool noch so alles anfangen kann, hat Qualys auf der letzten BlackHat in Las Vegas gezeigt und dazu Folien und ein Whitepaper veröffentlicht.

1. Daten sichern
2. Konfigurationsdatei “wp-config.php” absichern
3. Benutzerverwaltung absichern
4. Admin-Konto absichern
5. Anmeldung via SSL
6. Tabellenpräfix “wp_” ändern (nur für Bastler)

Mit diesen 6 Schritten können Sie Ihre WordPress ein ganzes Stück sicherer machen. Wir gehen nun im Detail auf die Punkte ein und am Ende finden Sie noch einen Hinweis dazu, wie Sie die WordPress während dieser Arbeiten in einen Wartungsmodus versetzen können. Wir beginnen mit der Datensicherung:

1. Daten sichern

Der erste Schritt zu mehr Sicherheit ist es, noch vor dem Weiterlesen alle Daten zu sichern. Das bedeutet:

1. Das WordPress-Verzeichnis sichern.
2. Die Datenbank sichern, die WordPress verwendet.

Wie Sie das Verzeichnis sichern, hängt von Ihrem Provider ab, also zum Beispiel via FTP, WebDAV oder die Weboberfläche Ihres Providers. Stellen Sie sicher, dass die Datensicherung auch funktioniert hat und Sie die richtigen Verzeichnisse und Daten gesichert haben. Prüfen Sie also insbesondere, ob Sie nicht irgendwelche leeren Verzeichnisse oder Datenbanken, die nur einen schöneren Namen hatten gesichert haben. Ob Ihnen so etwas passieren kann, hängt davon ab, wie viel Ordnung Sie auf Ihrem Server halten.

2. Konfigurationsdatei “wp-config.php” absichern

Um die Datei wp-config.php zu schützen geben Sie folgenden Code in die .htaccess-Datei ein, die sich im selben Verzeichnis wie wp-config.php befindet:

# Schützt wpconfig.php
<files wp-config.php>
Order deny,allow
deny from all
</files>

3. Benutzerverwaltung absichern

Sie sollten natürlich nicht alle Beiträge als Administrator verfassen, sondern ein eigenes Nutzerkonto haben, das eingeschränkte Rechte hat. Außerdem sollten Sie unter Einstellungen › Allgemein › Mitgliedschaft › Jeder kann sich registrieren die Checkbox deaktivieren, wenn Sie das nicht ausdrücklich wünschen.

4. Admin-Konto absichern

Bevor das vorinstallierte Admin-Konto gelöscht werden kann, sollte man einen neuen Admin anlegen. Der Benutzername des Admin sollte danach sinnigerweise nicht Admin sein und auch nicht als Anzeigename verwendet werden. Tragen Sie dazu unter Benutzer › Benutzer bearbeiten im Profil des neuen Admin-Kontos im Feld  Spitzname einen anderen Namen ein und ändern Sie dann die Auswahl unter Öffentlicher Name auf den Spitznamen.

Das vorinstallierte Admin-Konto hat in der Datenbank die ID 1. Im Dashboard ist das nur bei der Bestätigung zum Löschen sichtbar. Unter anderem wegen der ID 1 sollte ein neues Admin-Konto angelegt werden. ID 2 oder 3 ist jedoch auch nicht viel einfallsreicher. Wenn Sie das ändern wollen, ist etwas Handarbeit in der hinter der WordPress liegenden Datenbank gefragt. Dazu sind die folgenden Schritte zu erledigen:

1. Als erstes müssen Sie sich darüber Gedanken machen, ob der Admin bereits Beiträge veröffentlicht hat. Wenn ja, dann sind diese mit der ID des Autors verknüpft. Sie sollten das alte Admin-Konto also erst löschen, nachdem die ID geändert ist. Dann können die Artikel im Lösch-Dialog der WordPress an den richtigen Autor übertragen werden, so dass auch die ID stimmt. Erst nachdem diese Frage geklärt ist, kann es weitergehen:
2. In der Tabelle wp_users müssen Sie die ID des neue angelegten Admin ändern.
3. In der Tabelle wp_usersmeta müssen Sie die alte ID des neuen Admins in die neue ändern, damit alle Profileinstellungen übernommen werden.
4. Testen Sie eine Anmeldung mit dem neuen Konto. Hat alles geklappt?

Wenn Ihr Provider Ihnen eine phpMyAdmin-Oberfläche anbietet, können Sie diese Schritte recht einfach erledigen. Ansonsten sollten Sie sich ein SQL-Buch kaufen. Wenn der neue Admin dann richtig eingerichtet ist, kann das ursprüngliche, nach der Installation vorhandene Admin-Konto gelöscht werden.

5. Anmeldung via SSL

Bevor wir noch einmal an der Datenbank Hand anlegen, lohnt es sich, die Kommunikation mit der Webseite zu optimieren und verschlüsselt zu arbeiten. Das kann man machen, indem man auf dem Server ein SSL-Zertifikat hat und via https arbeitet. Damit WordPress alle Links richtig setzt muss man unter Einstellungen › Allgemein in den Feldern WordPress-Adresse (URL) und Blog-Adresse (URL) jeweils https:// schreiben statt http ohne s.

Laut c’t extra 01/2010 soll das auch über einen SSL-Proxy des Hosters funktionieren. Danach erreicht man die WordPress zum Beispiel bei 1&1 unter “https://ssl.kundenserver.de/ihredomain.example.com/wp-login.php”. Leider funktioniert das bei mir und 1&1 nicht so wie es in der c’t versprochen wird. Mein Firefox überträgt Nutzername und Passwort weiterhin unverschlüsselt und direkt. Also keine so gute Idee.

6. Tabellenpräfix “wp_” ändern (nur für Bastler)

Was jetzt noch bleibt, ist es, das Tabellenpräfix der WordPress zu ändern. Leider funktioniert das nicht ganz so einfach. Daher ist es auch der Punkt 6. So wie es in c’t extra 01/2010 beschrieben ist, funktioniert es jedenfalls nicht, was auch der Autor des Artikels bereits eingesehen hat. Er schreibt, dass dies nur sehr erfahrene Anwender in Angriff nehmen sollten, da er selber in zwei Test-Fällen arg zu kämpfen hatte. Er schlägt folgendes vor:

Das Tabellenpräfix ist in der Konfigurationsdatei (wp-config.php) definiert. Dort muss es neu festgelegt werden (streiche wp setze zb):

$table_prefix = 'zb_';

Mit phpMyAdmin müssen danach alle bestehenden Tabellen umbenannt werden. Dazu muss man links auf die erste Tabelle klicken. Über das Tab “Operationen” kann man die Tabelle umbenennen. Das wiederholt man dann für jede Tabelle in der Datenbank. Zum Schluss müssen die Felder der Tabellen .._options und .._usermeta geändert werden:

UPDATE zb_options SET option_name = REPLACE(option_name, 'wp_', 'zb_');
UPDATE zb_usermeta SET meta_key = REPLACE(meta_key, 'wp_', 'zb_');

Wer Schritt 6 versuchen will, dem wünsche ich schon mal viel Glück. Schlimmstenfalls steht man eben vor verschlossener Tür, was ähnliche Gründe hat wie bei der Änderung der ID weiter oben.

Wartungsmodus

Wer während dieser ganzen Arbeiten versuchen möchte seiner WordPress mit einem Plugin in den Wartungsmodus zu schicken, der sollte sich darüber im Klaren sein, dass so ein Plugin ebenfalls mit den Tabellen der Datenbank arbeitet. Spätestens bei Schritt 6 klappt das dann nicht mehr.

Seit WordPress 3.0 gibt es einen Workaround: Der interne Wartungsmodus funktioniert mit der Datei .maintenance im WordPress-Stammverzeichnis, die bei WordPress-Updates automatisch generiert wird. Man kann diesen automatischen Wartungsmodus imitieren, in dem man die Datei manuell auf den Server stellt. Sie muss folgenden Text enthalten:

<?php $upgrading = 1281368693; ?>

Die Zahlenreihe ist das Ergebnis von <? echo time(); ?>. Dieser Zeitstempel wird von WordPress mit der aktuellen Zeit verglichen. Nach einer gewissen Zeit wird der Wartungsmodus dadurch wieder deaktiviert. Sie müssen den Wert also gegen den aktuellen Zeitstempel austauschen, den Sie zum Beispiel hier erfahren können. Standardmäßig sind 10 Minuten für den Wartungsmodus eingestellt. Die Zeit sowie die angezeigte Nachricht können sie in der Datei load.php im wp-includes-Verzeichnis bearbeiten.

Das Google Hacking Diggity Project hat den Scanner GoogleDiggity in der Version 0.1 veröffentlicht. Das Kommandozeilentool bringt 1623 Anfragen mit und liefert die Ergebnisse einer Suchanfrage als txt-Datei. Das Tool selbst behauptet zwar nicht mehr als 64 Suchanfragen am Stück abzuarbeiten, weil das gegen die Google-AGB verstoße, macht es dann aber offenbar trotzdem für alle 1623 Anfragen in einem Rutsch, was bei mir etwa 10 Minuten gedauert hat:

GoogleDiggity.exe -f "GHDB and FSDB - All.txt" -d example.com

Wenn die erstellte Datei output.txt am Ende so aussieht ist alles in Ordnung:


GoogleDiggity - http://www.stachliu.com
Started GoogleDiggity Scan: 02.08.2010 13:13:06
Command Line: GoogleDiggity.exe -f GHDB and FSDB - All.txt -d example.com
Main Category Secondary Category Search String Title Content URL (...)
-> Hier sollte besser nichts stehen!
Finished GoogleDiggity Scan: 02.08.2010 13:23:49

An der rot markierten Stelle im Listing sollte besser nichts stehen. In diesem Fall gilt: No news is good news! Ob die Suche überhaupt funktioniert hat, kann mit dem folgenden Befehl getestet werden (http://example.com/):

GoogleDiggity.exe -q "RFC 2606" -d example.com

Das Ergebnis sollte die folgenden Informationen enthalten:

Title: Example Web Page
Content: These domain names are reserved for use in documentation and are not available for registration. See <strong>RFC 2606</strong>, Section 3.
URL: http://www.example.com/
Google Cache URL: http://www.google.com/search?q=cache:oMLrRbSxI5MJ:www.example.com

Die Zeile mit dem Suchtreffer wird in der Spalte Content angezeigt.

chaRMe ist ein Open Source Information Security Risk Management Framework, das bei der Implementierung eines ISMS nach ISO/IEC 27001 unterstützt. Es steht unter der AGPL und ist in seiner aktuellsten Version 0.7.0 nun auch als Online-Demo verfügbar. Hauptsächliche Triebfeder hinter der Entwicklung des Frameworks ist die Leonberger Firma secopan.

Anmeldung

Wer das Tool ausprobieren möchte, muss sich registrieren. Dazu benötigt man nichts weiter als eine gültige E-Mail-Adresse, die laut Webseite nur so lange auf dem System gespeichert wird, bis die Anmeldung abgeschlossen ist. Hat man diesen Schritt hinter sich, kann man sich am System anmelden und landet direkt im Hauptmenü.

Der erste Eindruck

Man sagt ja gerne, der erste Eindruck entscheidet: Das Hauptmenü ist aufgeräumt und übersichtlich. Es dient Hauptsächlich dazu, Assessments anzulegen und zu verwalten. Daneben stehen die Menüpunkte Gefährdungen, Maßnahmen und Assets zur Verfügung. Der Erste Eindruck: Positiv. Fangen wir mit den Details an:

Gefährdungen

Hinter der Schaltfläche Gefährdungen verbergen sich ganz offensichtlich eine Teilmenge der Gefährdungen aus den BSI IT-Grundschutzkatalogen, die aber noch nicht vollständig erfasst worden sind. Zumindest ist daran gedacht, dass ISO 27001 auch im Grundschutzumfeld funktionieren sollte. Wer (wie ich) denkt, die Schaltflächen würden nicht funktionieren, der irrt sich (auch wie ich). Will man den Text einer Gefährdung editieren erscheint oben links ein zusätzliches Eingabefeld, dass man leicht übersehen kann.

Maßnahmen

Hinter der Schaltfläche Maßnahmen verbirgt sich eine lange Tabelle. Unter der Kategorie iso27001 finden sich dort die Sections, Sub-Sections und Controls der ISO/IEC 27002. Wer darüber hinaus zusätzliche Maßnahmen definieren will, kann dies jederzeit über die Schaltfläche neue Maßnahme erledigen:

Die Maßnahmen der ISO/IEC 27002 können über die Schaltfläche bearbeitet werten. Wenn man das macht, bekommt man den Hinweis:

Copy ISO 27002 in here or order the data package from secopan http://www.secopan.de

OK – Open Source hört da auf, wo das Copyright der ISO anfängt. Zumindest sollte man wissen, dass man sich die “Handarbeit” sparen kann und es Importpakete gibt. Auf Anfrage teilte mir Secopan mit, dass ein ISO/IEC 27002 Importpaket derzeit 750.- Euro kostet. Das Paket enthält je eine Version von ISO/IEC 27001 und 27002 und darüber hinaus ein zusätzliches Threat- und ein Asset-Paket, die den Start erleichtern sollen.

Assets

In der Ansicht Assets schließlich können die Assets definiert und mit den Gefährdungen verknüpft werden, was für einige Assets bereits gemacht wurde:

Neues Assessment

Wirklich spannend wird es allerdings erst in der Ansicht Neues Assessment. Hier leitet chaRMe den Benutzer durch den gesamten Prozess des Assessments. Von der Definition des Geltungsbereichs bis zur Dokumentation in Form eines Berichts, der sich auch per pdf exportieren lässt. Jeder Prozessschritt wird jeweils in der Fußleiste (Schnellnavigation) der Seite mit einem zusätzlichen roten Button quittiert, über den man auch wieder zurück zu den bereits erledigten Schritten gelangt.

Das Assessment erfolgt, entlang den Vorgaben der ISO/IEC 27001, in den folgenden Schritten:

• Definition des Geltungsbereichs
• Compliance Anforderung definieren
• Inventar erfassen
• Risikoanalyse
• Globale Maßnahmen festlegen
• Weitere Maßnahmen
• Risikobehandlung
• Dokumentation

Mehr Informationen zu den einzelnen Schritten wird es dann in meinem Buch geben.

Fazit

chaRMe ist bereits in seiner Version 0.7.0 eine echte Unterstützung fürs Risikomanagement. Es wird bereit erfolgreich in mehreren deutschen Unternehmen eingesetzt und ist auf dem besten Weg in Richtung einer Version 1.0.

Wie dem auch sei. Unter anderem IPS führt dazu, dass ihr Bildschirminhalt auch mit einem ungünstigen Winkel zum Gerät gut lesbar bleibt. Ja und genau das gefällt den Security-Leuten ja nicht, weshalb sie mit Polarisationsfilter-Folien die technischen Errungenschaften in Sachen Flüssigkristallbildschirme zunichte machen und u.a. die sogenannte Blickwinkelabhängigkeit des Kontrastes, die durch das IPS verbessert wird, in die Steinzeit zurückversetzen. Einfach auf den Bildschirm stecken und schon ist in Sachen Blickwinkel wieder alles beim Alten. Wie in den guten, alten 286er-Zeiten.*

Im Moment sind sogenannte Solid-State-Festplatten im Vormarsch. Vom Wort her scheinbar das visionäre Gegenteil zu Cloud-Speicherplatz. Auch das ist übrigens so eine Errungenschaft, die den Security-Leuten keinen richtigen Spaß machen will (Top Cloud Security Threats Research Report und ISACA: Cloud Computing Risiken überwiegen die Vorteile ). Aber zurück zu den Solid-State-Festplatten: Was soll an denen problematisch sein?

Grundsätzlich ist es bei diesen Speichern leider nicht möglich, gezielt Blöcke auf dem Speicher zu überschreiben, aber genau darum geht es beim sicheren Löschen einer Datei. Gewissermaßen hat das Betriebssystem keine Ahnung, wo die Solid-State-Platte die Daten hinschreibt, und wo nicht. Ein Problem, dass es ähnlich übrigens u.A. auch bei NTFS-Laufwerken gibt. Weder Tools wie wipe oder shred funktionieren mit diesen Platten, wenn man nur einzelne Dateien löschen möchte. Das Überschreiben bringt dann nicht viel, auch wenn man es 35 Mal macht. Es sei denn, man tut es mit der gesamten Platte, die man ohnehin besser komplett verschlüsseln sollte.USB-Sticks sind übrigens auch Solid-State-Speicher. Es gilt also: Wenn schon Löschen, dann den gesamten Speicher!

Naja, vielleicht nicht ganz. Um mehr Klarheit zu schaffen gibt es neben dem eher kryptisch anmutenden CVSS-Vektor einen Zahlwert zwischen 0 und 10, den man auch grafisch darstellen kann – grün ist gut, rot ist schlecht:

Ja: jetzt erkennt man mehr – nur was man da erkennt ist natürlich die Frage. Das Common Vulnerability Scoring System (CVSS) ist ein offenes Framework, mit dem man Schwachstellen aus verschiedenen Perspektiven bewertet, um am Ende einen standardisierten Wert zu erhalten. In diesem Fall 5,4 – also ein mittlerer Wert.

Dieser setzt sich aus mehreren anderen Werten zusammen, die drei Gruppen angehören: Base, Temporal und Environmental – also Basis, Temporär und Umgebung.

Base Score Metrics

Hier geht es darum, zu bewerten wie leicht oder schwer ein Angriff auf eine Schwachstelle durchzuführen ist und darum, welchen Schaden man anrichten kann. In IT-Kauderwelsch heißt das: “Die Base-Score-Metrics setzen sich aus dem Exploitabiliy-Subscore – also Access-Vector, Access-Complexity, Authentication – und dem Impact-Subscore zusammen – also dem Confidentiality-, Integrity- oder Availability-Impact”.

Environmental Score Metrics

Hier spielt das Unternehmen oder die Behörde, in der man sich befindet eine Rolle. In wie weit ist man dem Angriff ausgeliefert und welchen Schutzbedarf hat man? IT-Kauderwelsch: “Die Environmental-Score-Metrics setzen sich aus den General-Modifiers – also Collateral-Damage-Potential und Target-Distribution – und den Impact-Subscore-Modifiers zusammen – also den Confidentiality-, Integrity- oder Availability-Requirements”.

Temporal Score Metrics

Hier kommt der Faktor Zeit zum Tragen: Eine Schwachstelle die noch nicht gepatcht ist, ist schlimmer, wie eine, bei der es schon ein Hersteller-Patch gibt. Handelt es sich nur um eine Idee für einen Angriff oder wurde schon bewiesen dass der Angriff funktioniert? Auch hier wieder in IT-Kauderwelsch: “Die Temporal-Score-Metrics setzen sich aus der Exploitability, dem Remediation-Level und der Report-Confidence zusammen”

Was bringt das Ganze?

Der Vorteil der CVSS-Scores besteht nun darin, den Kauderwelsch in Management-Deutsch übersetzen zu können: grün, orange, rot.

• Grün: gut!
• Orange: aufpassen!
• Rot: heiß, aua!

Im Vergleich zwischen vielen Schwachstellen kann man mit CVSS-Scores die Entscheidung transparent machen, welches Problem man zuerst angeht. Wenn Sie wissen wollen wie sich der Wert genau zusammensetzt, finden Sie diese Informationen auf den Seiten der National Vulnerability Database.

CVSS-Rechner

Damit sich auch der Fachmann nicht allzu lange mit den Werten ärgern muss, gibt es eine ganze Reihe von Tools, mit denen man schnell produktiv werden kann:

• National Vulnerability Database (Online-Rechner)
• Information-Technology Promotion Agency, Japan (deutsche Online-Demo)
• Cisco (Online-Rechner – nur Subscores)
• Goebel Consult (Plattform unabhängig)

Mein Favorit ist der Plattform unabhängige CVSS-Calculator von Goebel Consult. Für private Nutzung und für die Nutzung in Unternehmen bis 49 Mitarbeitern ist das Tool kostenlos und es kann CVSS-Vektoren mit cut-and-paste verarbeiten. Eine deutsche Übersetzung findet man bei der Münchener Firma Goebel Consult leider nicht, dafür aber in Japan bei der Information-Technology Promotion Agency. Und schön gestaltet ist deren Online-Demo ebenfalls.