Auflistung aller Beiträge aus der Kategorie

Verteidigung

WordPress Schwachstelle im Remote Publishing

Die aktuelle WordPress Version 3.0.3 behebt eine Schwachstelle, die bei Installationen, in denen Remote Publishing aktiviert ist von einem Angreifer ausgenutzt werden kann. Unter Umständen ist es so möglich, dass Mitarbeiter (Contributor) und Autoren (Author) unberechtigt Beiträge bearbeiten, veröffentlichen und löschen können. Die Schwachstelle im XML-RPC Remote-Publishing-Interface kann durch das Update auf die neue Version behoben werden.

Das Update muss also nur installiert werden, wenn mehrere User an der Webseite mitarbeiten. Da allerdings nur eine wichtige Datei von dem Update betroffen ist, ist ein Update schnell gemacht (wp-includes/version.php, xmlrpc.php, readme.html, wp-admin/includes/update-core.php).

Wenn Sie nicht wissen, ob Sie Remote Publishing aktiviert haben, finden Sie die Einstellung im Dashboard unter Settings → Writing bzw. Einstellungen → Schreiben. Zu Deutsch heißt es übrigens wenig schön übersetzt: Fernpublizieren.

Eine Alternative zum Patch ist natürlich die Deaktivierung von XML-RPC.

Awareness Games Teil 3: Reden wir mal über …

… Sicherheit – Mit diesem Titel thematisiert das dritte Awareness Game, das ich hier vorstellen möchte alltagsbezogene Aspekte von Sicherheit. Neben Fragen, die Grundlagen und Strukturen der Security-Protagonisten ausloten, z.B. »Wer ist bei uns für die Privacy zuständig?« oder »Wie lässt sich unsere Sicherheitskultur beschreiben?« finden sich unter den mehr als 100 Kommunikationsmodulen auch solche wie »Was hat Muhammad Ali mit Security zu tun?« oder die simpel anmutende projektive Frage: „Welche Farbe hat eigentlich Sicherheit?“.

„Aus unseren Studien und durch unsere praktische Arbeit wissen wir, dass die Mitarbeiter in punkto der oftmals so ungeliebten Sicherheitsthemen sehr häufig einen ‚Psycho- Schalter’ brauchen, um mit Ihrem Management ins Gespräch zu kommen. Auf einer rein sachlichen Dialog-Ebene fällt das den meisten nicht leicht. Hier hilft vor allem Projektives, z.B. die Frage, welches Tier einem Sicherheitsverantwortlichen treffenderweise zuzuordnen sei oder die schlicht anmutende, aber kommunikationstechnisch ungeheuer wirkungsvolle Frage nach der Farbe von Sicherheit“, sagt known_sense-Geschäftsführer Dietmar Pokoyski.

Muster, Abbildungen und weitere Informationen bei

aware-house, c/o known-sense
Anschrift: Kaiser-Wilhelm-Ring 30-32, D-50672 Köln
Fon 49 221 91277778, Fax 49 221 2403910
Ansprechpartner: Dietmar Pokoyski (pokoyski@known-sense.de)

oder unter:
http://www.aware-house.com,
http://www.known-sense.de , http://www.hecom-consulting.de
Kartenabbildungen:
http://www.known-sense.de/DEFENSE.pdf (pdf, 17 S., 900 kb)
http://www.known-sense.de/TALKINGSECURITY.pdf (pdf, 11 S., 500 kb)
Awareness-Tool-Katalog „WANTED“:
http://www.known-sense.de/WANTED.pdf (pdf, 24 S., 6 MB)

Awareness Games Teil 2: InfoSec Domino

Information Security DominoWeihnachtsgeschenk gesucht? Noch Mittel im Topf? In den nächsten Tagen stelle ich einige Security-Geschenkideen vor, mit denen man sich die Vorweihnachtszeit versüßen kann.

Eine davon ist das Spiel Information Security Domino™, das als Kommunikationsbeschleuniger für die Arbeit von CISO und Co dient. In der Küche des CISO ist es das Amuse Gueule – der Starter für Fortbildungen und Schulungen. Es vermittelt ein solides Grundlagenwissen zu sieben ausgesuchten Sicherheitsthemen und bringt so die Spieler auf einen gemeinsamen Wissensstand.

Sie erhalten das Information Security Domino neben Deutsch auch in zwei weiteren Sprachen:

The Information Security Domino is the eye-catcher for your business. You can order it in print runs with more than 50 games in three languages english, german and spanisch. You want your security products to be embedded? You want the game to fit your corporate identity? NO PROBLEM!

Puede adquirir la baraja del Information Security Domino a través de la página Web de Ps(i)² – Seguridad en Sistemas Informáticas. Gustosamente le asesoramos aplicando sus deseos individuales. Puede elegir entre lotes a partir de 50 juegos.

Weitere Informationen finden Sie auf den Produktwebseiten:

Awareness Games Teil 1: Defense

Vor Weihnachten sucht man ja schon mal verzweifelt nach dem richtigen Geschenk, oder man hat noch zu viel Geld in irgendeinem Topf, das noch unter die Leute muss. Eine Möglichkeit, dieses Problem zu Lösen, die auch noch Spaß macht, sind Awareness Games. Im ersten Teil der kleinen vorweihnachtlichen Reihe mit Geschenkideen für Security-Profis möchte ich Ihnen das Spiel Defense vorstellen:

„Wer hat die vertrauliche Präsentation im Besprechungsraum vergessen?“ „Warum ist Adams Passwort falsch?“ „Wer entlarvt den Social Engineer?“ Und: „Wer ist der Unbekannte, den Lara Linn aus der Flughafen-Lounge abholen soll?“ Ob Sicherheits-Rätselkrimi, Security Anagramm oder Privacy-Rebusrätsel – „DEFENSE – 32 Security brainGames“ ist die Geschenkidee für IT-Sicherheitsbeauftragte.

Das u.a. bereits an Roche Diagnostics lizenzierte Kartenspiel „DEFENSE“ besteht auf den Vorderseiten aus 32 Security-Aufgaben unterschiedlicher Schwierigkeitsstufen, die jeder Kunde aus einem Pool von mehr als 200 verschiedenen, von Experten fachlich geprüften Rätseln konfektionieren kann. Jede Auflösung auf den Kartenrückseiten liefert einen Teil eines ultimativen Mini-Handbuch für Sicherheits- und Datenschutzthemen. So wird hierüber unter anderem erklärt, worum es sich bei Trojanern handelt, warum Verfügbarkeit ein Schutzziel des Datenschutzes darstellt oder was es z.B. mit dem Begriff „Verschlüsselung“ auf sich hat.

Muster, Abbildungen und weitere Informationen bei

aware-house, c/o known-sense
Anschrift: Kaiser-Wilhelm-Ring 30-32, D-50672 Köln
Fon 49 221 91277778, Fax 49 221 2403910
Ansprechpartner: Dietmar Pokoyski (pokoyski@known-sense.de)

oder unter:
http://www.aware-house.com,
http://www.known-sense.de , http://www.hecom-consulting.de
Kartenabbildungen:
http://www.known-sense.de/DEFENSE.pdf (pdf, 17 S., 900 kb)
http://www.known-sense.de/TALKINGSECURITY.pdf (pdf, 11 S., 500 kb)
Awareness-Tool-Katalog „WANTED“:
http://www.known-sense.de/WANTED.pdf (pdf, 24 S., 6 MB)

Manuelles Einstellen von DEP, ASLR und Integrity Level

Didier Stevens hatte bereits am 11.10. in einem Beitrag erklärt, wie man durch manuelle Einstellungen an den PDF-Programmen Adobe Reader, Foxit Reader und Sumatra PDF die Sicherheitsfunktionen DEP, ASLR und das Integrity Level einstellen kann und welche Auswirkungen das auf die Software hat. Am Samstag hat er die versprochenen Flags für die PE-Files nachgeliefert. Viel Spaß beim basteln…

“Das Problem sitzt vor dem Rechner”

“Das Problem bei der Sicherheit sitzt ja oft vor dem Rechner”, sagt Jens Fromm, Senior Researcher am Fraunhofer-Institut für Offene Kommunikationssysteme in Berlin. Und er sagt es auf einer Pressekonferenz zum neuen Personalausweis. Einer der anwesenden Journalisten ist vom Spiegel und der schreibt:

“Vor ein paar Jahren hat die Große Koalition nun mal entschieden, dass diese Probleme alle einen elektronischen Ausweis bekommen sollen.”

Und nun wird das Ding durchgezogen, egal wie gut oder schlecht der Personalausweis geworden ist. Allein schon deshalb, weil die kostenlosen Lesegeräte, von denen selbst das Innenministerium aus Sicherheitsgründen abrät, aus dem Konjunkturpaket II finanziert werden. Wer wollte schon den Aufschwung gefährden? Im Internet sein Auto ummelden, ein Konto eröffnen, eine Versicherung abschließen oder seine Rente abfragen – all das wird bald im Browser möglich sein.

Fromm lässt während der Pressekonferenz seinen Vorführ-Ausweis auf dem Lesegerät liegen. Einer der Journalisten meldet sich:

“Bitte, tun Sie mir einen Gefallen, Herr Fromm. Mir dreht sich der Magen um, wenn ich das sehe. Nehmen Sie den Ausweis von dem Lesegerät herunter.”

Herr Fromm kommt der Aufforderung nach. Eigentlich lächerlich, wenn man bedenkt, dass ein Angreifer ein Skript für sich arbeiten lassen würde, dass bereits in wenigen Sekunden hunderte von Konten eröffnen kann.

Wie hatte Thorsten Schröder vom CCC gesagt:

“Wir wollen vor allem darauf hinwirken, daß die zum Teil absurde Augenwischerei der Verantwortlichen bezüglich der realen Risiken für den Benutzer ein Ende findet.”

Adobe Reader ist nicht mehr auf Platz 1

Wie Heise berichtet, habe die Zahl der Angriffsversuche auf Java-Lücken in den vergangenen Monaten dramatisch zugenommen. Dies gehe aus einem Bericht des des Microsoft Malware Protection Center (MMPC) hervor. Seit Mitte des Jahres seien drei ältere Java-Lücken das Ziel von rund sechs Millionen Angriffen gewesen. Damit hat der Adobe Reader in der Kategorie “häufigste angegriffene Anwendung” seinen ersten Platz klar verloren.

Als Grund für den Anstieg werde vermutet, das Java bei den Usern weniger präsent sei und damit auch seltener gepatcht werde. Möglicherweise hinge dies auch mit Adobes Bestrebungen zusammen, den Reader sicherer zu machen. Auch im Security-Blog “Krebs on Security” wurde dieser Trend beobachtet.

Wer sich jetzt sorgen um die Sicherheit seiner Java-Version macht, der kann auf den Seiten von Oracle die neuesten Updates finden, mit denen Oracle beim Oktober-Patchday insgesamt 29 Lücken in unterschiedlichen Versionen der Software geschlossen hat – 15 der Lücken sind mit einem CVSS-Base-Score von 10 bewertet worden.

OWASP-AppSec-2010-Vorträge zum Download bereit

Die Vorträge der diesjährigen OWASP-Konferenz von Mittwoch stehen nun zum Download bereit. Hier nochmal eine Übersicht über die Themen:

Keynote — Sebastian Klipper
Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8

Tom Brennan
Current State of OWASP Adoption

Matthias Rohr
Der OWASP ASVS Standard

Sascha Herzog
XML-Security – Brief introduction in the use of web service In B2B environments and backend integration

Martin Knobloch
Developing Secure Applications with OWASP

Sebastian Schinzel
Seitenkanalschwachstellen im Web erkennen und verhindern

Dr. Dirk Wetter
OWASP Top 10, die Vierte: Was t/nun?

Frederik Weidemann
Härtung von SAP HTTP- und Webservices

Dr. Ingo Hanke und Daniel Bartschies
Sicherheit von Webanwendungen als Massnahme zum Schutz personenbezogenener Daten – ein Entwurf für TOP10 des Datenschutzes

Andreas Schmidt
WATOBO – Web Application Toolbox

Alexander Meisel
Distributed Web Application Firewall (dWAF) die Applikation als neuer Security Perimeter (auch in der Cloud)

AET spaltet die Antivirenhersteller

Stonesoft hat in Sachen Advanced Evasion Techniques (AET) nachgelegt (it-sa steht vor der Tür). Nachdem der Hersteller von Sicherheitssoftware am 04.10. mit einer Pressemitteilung die Diskussion um AET eingeläutet hatte, geht es nun also in die zweite Runde. Die eigentliche Botschaft:

“Den besten Schutz vor dynamischen und sich ständig weiterentwickelnden AETs bieten flexible, softwarebasierte Sicherheitssysteme mit zentralem Management und Remote-Update-Funktion.” ← Zitat aus der Pressemitteilung.

Stonesoft ist übrigens auch auf der it-sa zu sehen. Da kann man sich dann gleich mit “flexiblen, softwarebasierten Sicherheitssystemen mit zentralem Management und Remote-Update-Funktion” eindecken. Die Stand-Nummer wird netterweise in der Pressemitteilung mitgeliefert, da muss man als Leser nicht lange suchen, wenn man erst in Panik geraten ist.

Wenigstens hat die Tagespresse (WeltOnline, SpiegelOnline) nicht nur die Panikmache aufgegriffen, sondern auch die Skeptiker zu Wort kommen lassen. Dass Kassandra-Syndrom weitet sich also mittlerweile selbst auf die eigenen Branchenkollegen aus. Es fragt sich langsam, ob es sich noch um ein echtes Kassandra-Syndrom handelt – Kassandra hatte ja korrekte Warnungen auf Lager, denen keiner Gehör schenken wollte. Was ist, wenn die eine Kassandra etwas anderes prophezeit als die zweite? Mit dieser Frage lässt uns die griechische Mythologie leider alleine.

secAware – Konferenzbericht

Am 29. und 30.09. fand die secAware – 2nd International Workference of Security Awareness in Frankfurt am Main statt. Durch die Veranstaltung führten Birgitte Baardseth (isits) und Marcus Beyer (ISPIN).

Tag 1:

Das Programm begann mit der Key-Note “Der (un)aufmerksame Mensch” des Schweizer Publizisten Dr. Stephan Wehowsky, der sich dem Thema von der eher philosophischen Seite näherte und sich dabei Modellen wie dem des homo ludens bediente. Ausgehend vom Kampf um Menschenbilder und dem Dauerstreit der Kulturen zeigte er den Weg auf, den die Veranstaltung die folgenden beiden Tage nehmen würde: Security Awareness beschäftigt sich mehr mit Menschen und weniger mit Technik.

Nach der weit gefassten Key-Note widmeten sich die nächsten drei Vorträge der Praxis. Andreas Kirsch und Andreas Schnitzer stellen das Sensibilisierungskonzept der Sparkasse Witten vor, gefolgt von den Erfahrungen mit elektronischen Moderationskarten, die Dr. Christoph Schog von T-Systems vorstellte. Im dritten Vortrag berichtete schließlich Margit Karrer über eine international angelegte Awareness-Kampagne der Swiss Re, bevor die Teilnehmer der “Work”-ference sich in zwei Workshops selbst versuchen konnten. Bei Dietmar Pokoyski (known_sense) und Michael Helisch (HECOM) stand die Umsetzung von Awareness-Maßnahmen im Vordergrund, während sich der Workshop von Marcus Beyer (ISPIN) mit der zugehörigen Erfolgsmessung auseinandersetzte.

Zum Ausklang des Tages stellte Kathrin Prantner zusammen mit Christian Molterer die Virtual Training Company der E-SEC vor – eine Softwarelösung mit der Mitarbeiter richtiges und sicheres Verhalten in einem virtuellen Unternehmen ganz konkret einstudieren können.

Tag 2:

Bevor auch am zweiten Tag einige interessante Praxisberichte anstanden, wurden die Workshop-Ergebnisse vorgestellt und Ivona Matas führte danach in die psychologischen Aspekte der Security Awareness ein: “Das Problem liegt zwischen den Ohren der Mitarbeiter” – bereits der Vortragstitel sprach sicher einigen Teilnehmern und Teilnehmerinnen aus der Seele.

Anschließend berichtete Markus Steinkamp (Deutsche Börse) von Gefahren und Chancen im Web 2.0: Gefahren für Mitarbeiter und Chancen für unangenehme Zeitgenossen wie Stalker, Phisher und Co. Wo der Begriff der Gefahren fällt, sind die Risiken meist nicht weit: Haiko Sobbe referierte im Anschluss über die Zusammenhänge zwischen Security Awareness und Risikomanagement und brachte dabei seine Erfahrungen als IT-Sicherheits- und Datenschutzbeauftragter des Klinikums Dortmund mit in den Vortrag ein.

Große Beachtung fanden schließlich die beiden Vorträge von Gerhard T. Meier (BIOTRONIC) und Thomas Dallmann (CYTEC), die die Avatare ihrer aktuellen Awareness Kampagnen vorstellten. Während bei BIOTRONIC Dr. SAFE mit den Mitarbeitern “gemeinsam für mehr Sicherheit” kämpft, begibt sich bei CYTEC das sprechende Fass Cybarry auf die “Expedition Security”. Beide Referenten erreichten mit ihren Kampagnen nicht nur beim Konferenzpublikum sondern vor allem bei Mitarbeitern und Management beachtliche Erfolge.

Zuletzt lag es an mir, den Bogen zur Key-Note zu spannen und die Veranstaltung inhaltlich zusammenzufassen. Mein Thema “Sicherheitsziele kommunizieren” bot dafür genau den richtigen Rahmen. Mit den von mir vorgestellten Ansätzen – die größtenteils meinem Buch “Konfliktmanagement für Sicherheitsprofis” entstammten – konnte ich immer wieder Anknüpfungspunkte zu den Vorträgen und Praxisberichten finden. Aus meiner Sicht konnte ich jedenfalls festhalten, dass es sich gelohnt hat, den Weg nach Frankfurt anzutreten, um an der 2. secAware teilzunehmen.

(Die Links auf den Namen verweisen jeweils auf die XING-Profile der Referenten. Mein XING-Profil finden Sie hier.)