Die App bietet neben den normalen Funktionen auch die Möglichkeit Dateien und Ordner mit einer Passwortabfrage zu versehen. Zeigt man in der Symbolleiste auf das Zahnrad-Symbol, kann man die Passwortabfrage unter “General Settings” aktivieren: “Set password for files & folders”:

Sie sollten dieses Passwort auf keinen Fall vergessen, da es sich nur zurücksetzen lässt, indem man die App deinstalliert und erneut installiert. Nachdem das Passwort gesetzt wurde, kann man im Register “Manage Files” für Dateien und Ordner über die Schaltfläche “Protect” die Passwortabfrage aktivieren. Wurde das Passwort in der aktuellen Sitzung noch nicht eingegeben wird es dabei erneut abgefragt:

Danach erscheint neben dem Ordnersymbol ein kleines Schloss und das Passwort wird abgefragt, sobald sie einen geschützten Ordner oder eine Datei anzeigen wollen.

Wurde das Passwort in der aktuellen Sitzung bereits ein Mal eingegeben, kann man jedoch zwischen verschiedenen Ordnern wechseln, ohne erneut nach dem Passwort gefragt zu werden. Das ändert sich erst, wenn man in den “General Settings” den “Paranoid mode” aktiviert (siehe Abb. oben). Wechselt man dann die App oder sperrt das iPad, dann wird beim nächsten Aufruf des GoodReaders das Passwort erneut abgefragt (natürlich wieder nur einmal).

Neu geöffnete Dateien werden vom GoodReader übrigens standardmäßig in der ersten Ordnerebene gespeichert. Sie müssen also erst in einem Passwort-geschützten Ordner verschoben oder selbst geschützt werden.

Inwieweit die Passwortabfrage die Dateien auch vor unbefugten Zugriff schützt, habe ich bisher noch nicht getestet oder recherchiert. Es empfiehlt sich ohnehin davon auszugehen, dass dem nicht so ist.

Sollte man das iPad jedoch nutzen wollen, um in einer Besprechung ein Dokument weiterzugeben, sind zumindest alle anderen Dokumente, für die die Passwortabfrage aktiviert ist, vor Add-Hoc-Zugriff geschützt – besser als nichts. Aktiviert man zusätzlich noch “Ask Password on startup” (siehe Abb. oben), so wird ein weiteres Passwort für das Starten der App aktiviert.

Informationen zum Buch:

“Konfliktmanagement für Sicherheitsprofis”

Auswege aus der Buhmann-Falle für IT-Sicherheitsbeauftragte, Datenschützer und Co.

2010, Vieweg+Teubner-Verlag

ISBN-13: 978-3834810106

Leserstimmen:

“Als betroffener IT-Sicherheitsexperte habe ich selten so ein kompaktes, klares und gut verständliches Kompendium, welches die Problembereiche von Sicherheitsexperten beschreibt gelesen. Ein durchweg gelungenes Werk.”

“Ich finde, das Buch hilft hier wirklich weiter.”

“Gehört daher ins Regal jedes Sicherheits- und Datenschutz-Profis. Ganz sicher!”

Die Woche begann turbulent: Mal wieder tauchten Dokumente auf, in denen geheime Informationen nicht richtig geschwärzt waren. Dieses Mal veröffentlichte das britische Militär unbeabsichtigt brisante Details über Atom-U-Boote (heise Security). Die Textstellen waren in dem veröffentlichten PDF-Dokument zwar geschwärzt, es handelte sich jedoch nicht um schwarze Balken sondern um schwarzen Text auf schwarzem Grund. Kopiert man den Text in die Zwischenablage und in ein anderes Textverarbeitungsprogramm, so kann man ihn natürlich ohne Probleme lesen.

Nachdem in den letzten Monaten einige bekannte Firmen Opfer von gezielten Angriffen wurden, traf es nun den Softwarehersteller Ashampoo. Bei dem Angriff gingen Namen und E-Mail-Adressen von Kunden verloren. Zahlungsinformation wie Kreditkarteninformationen oder Bankdaten seien nicht von dem Angriff betroffen gewesen. Dass über diesen eher geringfügigen Vorfall in der Presse berichtet wurde, zeigt, dass die Awareness für gezielte Angriffe in diesem Jahr deutlich gestiegen ist. Heise online zeigt in seiner Berichterstattung mehrere Angriffsszenarien auf, wie mit den gewonnenen Informationen weitere Angriffe durchgeführt werden können.

Am selben Tag berichtete der Onlinedienst über einen Angriff via Drive-by-Download auf der Webseite der Menschenrechtsorganisation Amnesty. Dabei wurde eine Schwachstelle in Adobe Flash ausgenutzt. Das raffinierte an dem Angriff war, dass der Angriff die Heuristiken von insgesamt 42 Virenscannern austrickste. Die Schatzsoftware wurde zunächst als vorgebliche JavaScript-Datei heruntergeladen. Der Versuch des Browsers die Software auszuführen schlug natürlich fehlt, da es sich nicht um JavaScript handelte. Im Folgenden konnte das Programm jedoch im Cache des Rechners aufgerufen werden, was von den Antivirenprogrammen nicht mehr als verdächtige Aktion bewertet wurde. Diese wäre nur misstrauisch geworden, wenn die Software direkt aus dem Internet heruntergeladen worden wäre. Die Sicherheitsfirma Armorize stellt in ihrem Blog weitere Informationen zur Verfügung.

Für einigen Wirbel sorgte dann die Berichterstattung über die Aufzeichnung von Ortungsdaten im iPhone. Heise hat in einem Artikel eine ganze Reihe von Quellen zusammengetragen, die den Hype in diesem Zusammenhang in einem interessanten Licht erscheinen lassen. Nicht nur Onlinequellen berichteten bereits im September letzten Jahres von der Datensammlung, die betroffene Datenbank wurde bereits in einem Buch erwähnt – alter Wein in neuen Schläuchen.

Zuletzt wurde dann bekannt, dass der Sohn von Kaspersky CEO Eugene Kaspersky gekidnappt worden sei. Auch wenn die Berichte von offizieller Seite nicht bestätigt wurden, berichtete The Register von einer Lösegeldforderung in Höhe von 3 Millionen Euro. Alles in allem also eine wirklich turbulente Woche. Hoffen wir auf ein ruhigeres Osterwochenende und ein gutes Ende der Entführung.

Da es sich bei den Domains meist um die Anbieter von Mail und VoIP-Diensten handelt, liegt der Verdacht nahe, dass durch den Angriff eine Überwachung des Internetverkehrs ermöglicht werden soll. Dies sei vor allem dadurch möglich, dass die iranische Regierung die Kontrolle über die DNS-Server habe. Wer die Kontrolle über die DNS-Server hat, kann mit den gestohlenen Zertifikaten auch den größten Schaden anrichten. Für die betroffenen Opfer gibt es praktisch keine Möglichkeit den Angriff zu erkennen.

Normalerweise kann man in einem solchen Fall ein kompromittiertes Zertifikat widerrufen. Hierzu stellen Public Key Infrastrukturen so genannte Zertifikatssperrlisten (CRL) zur Verfügung. Diese Methode funktioniert allerdings nur in der Theorie – in der Praxis lässt sie sich von einem Angreifer umgehen, indem er die Abfrage dieser Listen einfach unterbindet.

Im konkreten Fall bedeutet das, dass ein Angreifer zum Beispiel eine gefälschte Seite mit Mozilla-Addons ins Netz stellen kann, ohne dass diese vom Browser als solche erkannt würde. Wie Heise online berichtet, gäbe es bereits seit letzter Woche Updates für Google Chrome. Auch wer mit Firefox 4 unterwegs sei, brauche sich keine Sorgen zu machen. Für den Internet Explorer seien die Updates aktuell in Arbeit, während man über die Planungen von Apple und Opera noch nichts wisse.

Und die Liste der Schwachstellen, die unter der harmlosen Überschrift APPLE-SA-2011-03-21-1 Mac OS X v10.6.7 and Security Update 2011-001 subsumiert werden, ist wirklich beachtlich. Der geneigte Leser möge mir verzeihen, dass ich nicht alle Schwachstellen mit den entsprechenden Advisories verlinkt habe.

AirPort
CVE-2011-0172

Apache
CVE-2010-1452
CVE-2010-2068

AppleScript
CVE-2011-0173

ATS
CVE-2011-0174
CVE-2011-0175
CVE-2011-0176
CVE-2011-0177

bzip2
CVE-2010-0405

CarbonCore
CVE-2011-0178

ClamAV
CVE-2010-0405
CVE-2010-3434
CVE-2010-4260
CVE-2010-4261
CVE-2010-4479

CoreText
CVE-2011-0179

HFS
CVE-2011-0180

ImageIO
CVE-2011-0170

ImageIO
CVE-2011-0181
CVE-2011-0191
CVE-2011-0192
CVE-2011-0194

Image RAW
CVE-2011-0193

Installer
CVE-2011-0190

Kerberos
CVE-2010-1323
CVE-2010-1324
CVE-2010-4020
CVE-2010-4021

Kernel
CVE-2011-0182

Libinfo
CVE-2011-0183

libxml
CVE-2010-4008
CVE-2010-4494

Mailman
CVE-2010-3089

PHP
CVE-2006-7243
CVE-2010-2950
CVE-2010-3709
CVE-2010-3710
CVE-2010-3870
CVE-2010-4150
CVE-2010-4409
CVE-2010-3436
CVE-2010-3709
CVE-2010-4150

QuickLook
CVE-2011-0184
CVE-2011-1417

QuickTime
CVE-2011-0186
CVE-2010-4009
CVE-2010-3801
CVE-2011-0187
CVE-2010-3802

Ruby
CVE-2011-0188

Samba
CVE-2010-3069

Subversion
CVE-2010-3315

Terminal
CVE-2011-0189

X11
CVE-2010-3814
CVE-2010-3855

Auch hier werden die Daten grafisch aufgearbeitet, und veranschaulichen so unter anderem, welche Arten von Angriffen im Moment besonders häufig vorkommen:

Als angemeldeter User hat man nicht nur die Möglichkeit auf erweiterte Daten zuzugreifen und sich in einer Watchlist über die Schwachstellen von bis zu zehn Anwendungen informieren zu lassen. Informationen zu neuen  Schwachstellen lassen sich komfortabel über einen RSS-Feed abonnieren. Unterstützt man das Projekt durch eine Spende, bekommt man darüber hinaus die Möglichkeit, mehr als zehn Anwendungen bzw. Hersteller zu verfolgten.

Man kann darüber hinaus die Datenbank selbst um weitere Informationen ergänzen und so die Qualität des Datenbestandes verbessern. OSVDB.org bietet darüber hinaus eine umfangreiche Herstellersuche.

]]> http://blog.psi2.de/2011/03/21/web-tipp-2-osvdb-org/feed/ 0 http://blog.psi2.de/2011/03/20/cvss-rechner-fur-den-mac/ http://blog.psi2.de/2011/03/20/cvss-rechner-fur-den-mac/#comments Sun, 20 Mar 2011 18:52:47 +0000 Sebastian Klipper http://blog.psi2.de/?p=4001 Nachdem es bisher keinen CVSS-Rechner speziell für den Mac gibt, habe ich mir die Mühe gemacht und eine kleine Anwendung programmiert, mit der man CVSS-Scores berechnen kann. Auch wenn ich für zukünftige Versionen mehr geplant habe: bisher kann das Programm nur rechnen. Als Nächstes ist geplant eine Import- und Exportfunktion für CVSS-Vektoren  zu integrieren und man soll über CVE-Codes die Möglichkeit haben, den Base-Score zu einer bestimmten Schwachstelle zu importieren. Sie können die Software hier downloaden.

Die dargestellten Daten stammen übrigens zum größten Teil von den XML-Feeds der National Vulnerability Database (NVD). Weitere Informationen, wie die Exploits der Exploit DB (www.exploit-db.com) oder von Metasploit werden vom Webseitenbetreiber ergänzt. Für den Adobe Reader sieht das zum Beispiel so aus:

Das Sschönste an den Übersichten ist, dass sie durchaus mit den Darstellungen mithalten können, die sonst in kostenpflichtigen Produkten enthalten sind. Software die einen besonders interessiert kann man als angemeldeter User übrigens in einer Favoriten-Übersicht zusammenfassen.

Auch über die Schattenseiten der Seite klärt der Autor offen auf. Hierzu gehören vor allem die Probleme, die die Datenquellen mit sich bringen. Das sind zum Beispiel uneinheitliche Produktnamen und Versionsbezeichnungen. Unter Umständen ist es so nötig, mehrere Einträge zu verfolgen, obwohl es sich um ein und dasselbe Produkt handelt.

Alles in allem kann ich die Seite aber nur empfehlen. Sie gehört definitiv zu meinen Favoriten.