Auflistung aller Beiträge aus der Kategorie

Verteidigung

ψ² = Ps(i)²

Security Advisory für Flash Player, Adobe Reader und Acrobat

Adobe meldet eine kritische Schwachstelle im Adobe Flash Player 10.0.45.2 und niedrigere Versionen auf Windows, Mac, Linux und Solaris Systemen. Adobe Reader und Acrobat 9.x seinen auf Windows, Mac und UNIX Systemen betroffen. Im schlimmsten Fall kann ein Angreifer die Kontrolle über das System übernehmen. Die Schwachstellen werden bereits mit Exploits ausgenutzt.

Betroffene Versionen:

Adobe Flash Player 10.0.45.2, 9.0.262 und früher und 10.0.x und 9.0.x für Windows, Macintosh, Linux und Solaris
Adobe Reader und Acrobat 9.3.2 und früher und 9.x für Windows, Macintosh und UNIX

Handlungsmöglichkeiten:

Nach Aussage von Adobe seine weder Flash Player 10.1 Release Candidate (http://labs.adobe.com/technologies/flashplayer10/) noch Adobe Reader and Acrobat 8.x von der Schwachstelle betroffen.

Lesen Sie mehr →
ψ² = Ps(i)²

Ps(i)² Testbericht: chaRMe 0.7.0

Im Rahmen des ISO-27001-Programms “Sicherheit mit System” bin ich zum ersten Mal mit chaRMe in Berührung gekommen. Im Rahmen der Recherche zu meinem neuen Buch “Information Security Risk Management mit ISO/IEC 27005″ geht es in einem ganzen Kapitel nur um Softwaretools zum Risikomanagement. Auch zu chaRMe wird es einen eigenen Abschnitt geben. Einen ersten Überblick gibt es bereits hier im Blog:

chaRMe ist ein Open Source Information Security Risk Management Framework, das bei der Implementierung eines ISMS nach ISO/IEC 27001 unterstützt. Es steht unter der AGPL und ist in seiner aktuellsten Version 0.7.0 nun auch als Online-Demo verfügbar. Hauptsächliche Triebfeder hinter der Entwicklung des Frameworks ist die Leonberger Firma secopan.

Anmeldung

Wer das Tool ausprobieren möchte, muss sich registrieren. Dazu benötigt man nichts weiter als eine gültige E-Mail-Adresse, die laut Webseite nur so lange auf dem System gespeichert wird, bis die Anmeldung abgeschlossen ist. Hat man diesen Schritt hinter sich, kann man sich am System anmelden und landet direkt im Hauptmenü.

Der erste Eindruck

Man sagt ja gerne, der erste Eindruck entscheidet: Das Hauptmenü ist aufgeräumt und übersichtlich. Es dient Hauptsächlich dazu, Assessments anzulegen und zu verwalten. Daneben stehen die Menüpunkte Gefährdungen, Maßnahmen und Assets zur Verfügung. Der Erste Eindruck: Positiv. Fangen wir mit den Details an:

Gefährdungen

Hinter der Schaltfläche Gefährdungen verbergen sich ganz offensichtlich eine Teilmenge der Gefährdungen aus den BSI IT-Grundschutzkatalogen, die aber noch nicht vollständig erfasst worden sind. Zumindest ist daran gedacht, dass ISO 27001 auch im Grundschutzumfeld funktionieren sollte. Wer (wie ich) denkt, die Schaltflächen würden nicht funktionieren, der irrt sich (auch wie ich). Will man den Text einer Gefährdung editieren erscheint oben links ein zusätzliches Eingabefeld, dass man leicht übersehen kann.

Maßnahmen

Hinter der Schaltfläche Maßnahmen verbirgt sich eine lange Tabelle. Unter der Kategorie iso27001 finden sich dort die Sections, Sub-Sections und Controls der ISO/IEC 27002. Wer darüber hinaus zusätzliche Maßnahmen definieren will, kann dies jederzeit über die Schaltfläche neue Maßnahme erledigen:


Die Maßnahmen der ISO/IEC 27002 können über die Schaltfläche bearbeitet werten. Wenn man das macht, bekommt man den Hinweis:

Copy ISO 27002 in here or order the data package from secopan http://www.secopan.de

OK – Open Source hört da auf, wo das Copyright der ISO anfängt. Zumindest sollte man wissen, dass man sich die “Handarbeit” sparen kann und es Importpakete gibt. Auf Anfrage teilte mir Secopan mit, dass ein ISO/IEC 27002 Importpaket derzeit 750.- Euro kostet. Das Paket enthält je eine Version von ISO/IEC 27001 und 27002 und darüber hinaus ein zusätzliches Threat- und ein Asset-Paket, die den Start erleichtern sollen.

Assets

In der Ansicht Assets schließlich können die Assets definiert und mit den Gefährdungen verknüpft werden, was für einige Assets bereits gemacht wurde:

Neues Assessment

Wirklich spannend wird es allerdings erst in der Ansicht Neues Assessment. Hier leitet chaRMe den Benutzer durch den gesamten Prozess des Assessments. Von der Definition des Geltungsbereichs bis zur Dokumentation in Form eines Berichts, der sich auch per pdf exportieren lässt. Jeder Prozessschritt wird jeweils in der Fußleiste (Schnellnavigation) der Seite mit einem zusätzlichen roten Button quittiert, über den man auch wieder zurück zu den bereits erledigten Schritten gelangt.

Das Assessment erfolgt, entlang den Vorgaben der ISO/IEC 27001, in den folgenden Schritten:

  • Definition des Geltungsbereichs
  • Compliance Anforderung definieren
  • Inventar erfassen
  • Risikoanalyse
  • Globale Maßnahmen festlegen
  • Weitere Maßnahmen
  • Risikobehandlung
  • Dokumentation

Mehr Informationen zu den einzelnen Schritten wird es dann in meinem Buch geben.

Fazit

chaRMe ist bereits in seiner Version 0.7.0 eine echte Unterstützung fürs Risikomanagement. Es wird bereit erfolgreich in mehreren deutschen Unternehmen eingesetzt und ist auf dem besten Weg in Richtung einer Version 1.0.

Lesen Sie mehr →
ψ² = Ps(i)²

Google Analytics mit Browser Add-on aussperren

Google hat sein Deaktivierungs-Add-on für Google Analytics zum Download bereitgestellt. Das Add-on teilt dem JavaScript (ga.js) von Google Analytics mit, dass keine Informationen über den Website-Besuch an Google Analytics übermittelt werden sollen. Zum selben Ergebnis kann man aber auch schon mit Add-ons wie NoScript (Firefox) erreichen, wenn man das betreffende Script nicht legitimiert. Das Deaktivierungs-Add-on ist für Internet Explorer 7 und 8, Google Chrome ab Version 4.x und Mozilla Firefox ab Version 3.5 verfügbar.

Lesen Sie mehr →
ψ² = Ps(i)²

Sicheres Löschen von Solid-State-Festplatten

Es ist eigentlich nichts Neues, dass Techniker etwas tolles erfinden, alle ganz begeistert sind und dann die Security-Leute den ganzen Spaß verderben. So war das auch schon beim IPS. Sie wissen nicht, was IPS ist? Intelligent Protection System? Internet Protokoll Suite? Intrusion Prevention System? Keine schlechten Ideen. Die Bedeutung die ich meine, lautet jedoch In-Plane-Switching. Ein Fachbegriff, der, für den Fall das man ihn nicht versteht, zumindest bestens geeignet ist um damit anzugeben – Rückfragen praktisch ausgeschlossen. Selbst Wikipedia weiß erst nach einigem Suchen Rat.

Wie dem auch sei. Unter anderem IPS führt dazu, dass ihr Bildschirminhalt auch mit einem ungünstigen Winkel zum Gerät gut lesbar bleibt. Ja und genau das gefällt den Security-Leuten ja nicht, weshalb sie mit Polarisationsfilter-Folien die technischen Errungenschaften in Sachen Flüssigkristallbildschirme zunichte machen und u.a. die sogenannte Blickwinkelabhängigkeit des Kontrastes, die durch das IPS verbessert wird, in die Steinzeit zurückversetzen. Einfach auf den Bildschirm stecken und schon ist in Sachen Blickwinkel wieder alles beim Alten. Wie in den guten, alten 286er-Zeiten.*

Im Moment sind sogenannte Solid-State-Festplatten im Vormarsch. Vom Wort her scheinbar das visionäre Gegenteil zu Cloud-Speicherplatz. Auch das ist übrigens so eine Errungenschaft, die den Security-Leuten keinen richtigen Spaß machen will (Top Cloud Security Threats Research Report und ISACA: Cloud Computing Risiken überwiegen die Vorteile ). Aber zurück zu den Solid-State-Festplatten: Was soll an denen problematisch sein?

Grundsätzlich ist es bei diesen Speichern leider nicht möglich, gezielt Blöcke auf dem Speicher zu überschreiben, aber genau darum geht es beim sicheren Löschen einer Datei. Gewissermaßen hat das Betriebssystem keine Ahnung, wo die Solid-State-Platte die Daten hinschreibt, und wo nicht. Ein Problem, dass es ähnlich übrigens u.A. auch bei NTFS-Laufwerken gibt. Weder Tools wie wipe oder shred funktionieren mit diesen Platten, wenn man nur einzelne Dateien löschen möchte. Das Überschreiben bringt dann nicht viel, auch wenn man es 35 Mal macht. Es sei denn, man tut es mit der gesamten Platte, die man ohnehin besser komplett verschlüsseln sollte.USB-Sticks sind übrigens auch Solid-State-Speicher. Es gilt also: Wenn schon Löschen, dann den gesamten Speicher!

Lesen Sie mehr →
ψ² = Ps(i)²

McAfee macht Windows-PCs unbenutzbar

Wegen eines fehlerhaften Signatur-Updates hat die Antivirensoftware von McAfee gestern unter Windows XP SP3 die Systemdatei SVCHOST.EXE als Schädling W32/Wecorl.a erkannt. Das berichtete Heise in einem Beitrag. Windows versucht anschließend, den PC neu zu starten und das als Endlosschleife im 30-Sekunden-Takt. McAfee hat zwar mittlerweile eine Datei bereit gestellt, die den PC automatisch repariert, schön ist das aber trotzdem nicht, weil es vor Ort erledigt werden muss – meinen herzlichen Glückwunsch an die betroffenen Admins!

Bei einer Katastrophenübung in Iowa fielen deshalb sogar die Computer und die Kommunikation der Notrufzentrale aus. Daraufhin mussten die Teams auf ihr altes Funksystem zurückgreifen. Halt ‘ne Notfall-Übung…

Lesen Sie mehr →
ψ² = Ps(i)²

CVSS-Scores selbst berechnen und anwenden

In meinem aktuellen Projekt musste ich am Rande mit CVSS-Scores arbeiten. Dazu kommt es üblicherweise, wenn man Soft- und Hardware-Schwachstellen bewerten soll. Wenn die Anzahl der zu bewertenden Schwachstellen entsprechend groß ist, verliert man leicht den Überblick. Dafür gibt es die CVSS-Scores. So sehen sie aus: AV:L/AC:H/Au:M/C:C/I:P/A:P/E:U /RL:TF/RC:UC/CDP:LM/TD:H/CR:M/IR:L/AR:H Und schon weiß man Bescheid.

Naja, vielleicht nicht ganz. Um mehr Klarheit zu schaffen gibt es neben dem eher kryptisch anmutenden CVSS-Vektor einen Zahlwert zwischen 0 und 10, den man auch grafisch darstellen kann – grün ist gut, rot ist schlecht:

Ja: jetzt erkennt man mehr – nur was man da erkennt ist natürlich die Frage. Das Common Vulnerability Scoring System (CVSS) ist ein offenes Framework, mit dem man Schwachstellen aus verschiedenen Perspektiven bewertet, um am Ende einen standardisierten Wert zu erhalten. In diesem Fall 5,4 – also ein mittlerer Wert.

Dieser setzt sich aus mehreren anderen Werten zusammen, die drei Gruppen angehören: Base, Temporal und Environmental – also Basis, Temporär und Umgebung.

Base Score Metrics

Hier geht es darum, zu bewerten wie leicht oder schwer ein Angriff auf eine Schwachstelle durchzuführen ist und darum, welchen Schaden man anrichten kann. In IT-Kauderwelsch heißt das: “Die Base-Score-Metrics setzen sich aus dem Exploitabiliy-Subscore – also Access-Vector, Access-Complexity, Authentication – und dem Impact-Subscore zusammen – also dem Confidentiality-, Integrity- oder Availability-Impact”.

Environmental Score Metrics

Hier spielt das Unternehmen oder die Behörde, in der man sich befindet eine Rolle. In wie weit ist man dem Angriff ausgeliefert und welchen Schutzbedarf hat man? IT-Kauderwelsch: “Die Environmental-Score-Metrics setzen sich aus den General-Modifiers – also Collateral-Damage-Potential und Target-Distribution – und den Impact-Subscore-Modifiers zusammen – also den Confidentiality-, Integrity- oder Availability-Requirements”.

Temporal Score Metrics

Hier kommt der Faktor Zeit zum Tragen: Eine Schwachstelle die noch nicht gepatcht ist, ist schlimmer, wie eine, bei der es schon ein Hersteller-Patch gibt. Handelt es sich nur um eine Idee für einen Angriff oder wurde schon bewiesen dass der Angriff funktioniert? Auch hier wieder in IT-Kauderwelsch: “Die Temporal-Score-Metrics setzen sich aus der Exploitability, dem Remediation-Level und der Report-Confidence zusammen”

Was bringt das Ganze?

Der Vorteil der CVSS-Scores besteht nun darin, den Kauderwelsch in Management-Deutsch übersetzen zu können: grün, orange, rot.

  • Grün: gut!
  • Orange: aufpassen!
  • Rot: heiß, aua!

Im Vergleich zwischen vielen Schwachstellen kann man mit CVSS-Scores die Entscheidung transparent machen, welches Problem man zuerst angeht. Wenn Sie wissen wollen wie sich der Wert genau zusammensetzt, finden Sie diese Informationen auf den Seiten der National Vulnerability Database.

CVSS-Rechner

Damit sich auch der Fachmann nicht allzu lange mit den Werten ärgern muss, gibt es eine ganze Reihe von Tools, mit denen man schnell produktiv werden kann:

Mein Favorit ist der Plattform unabhängige CVSS-Calculator von Goebel Consult. Für private Nutzung und für die Nutzung in Unternehmen bis 49 Mitarbeitern ist das Tool kostenlos und es kann CVSS-Vektoren mit cut-and-paste verarbeiten. Eine deutsche Übersetzung findet man bei der Münchener Firma Goebel Consult leider nicht, dafür aber in Japan bei der Information-Technology Promotion Agency. Und schön gestaltet ist deren Online-Demo ebenfalls.

Lesen Sie mehr →
ψ² = Ps(i)²

Apple patcht 88 Mac OS X Schwachstellen

Apple hat gestern eines seiner größten Security-Updates herausgegeben und schließt damit nicht weniger als 88 bekannte Sicherheitslücken. Das Update auf Version 10.6.3 wird als kritisch eingestuft. Mit von der Partie sind Remote Code Execution Schwachstellen, Denial of Service Angriffe oder Angriffe mit manipulierten Bildern oder Videos. Auf der Apple-Website finden Sie eine vollständige Liste der Schwachstellen. Dort finden Sie auch das Update. (Mehr Infos im Artikel auf threatpost)

Lesen Sie mehr →
ψ² = Ps(i)²

Verinice unterstützt jetzt auch ISO 27001

Das Open Source Grundschutz Tool Verinice ist in seiner Version 1.1 verfügbar und unterstützt neben dem BSI-IT-Grundschutz nun auch ISO/IEC 27001. Dazu wurde eine zusätzliche Perspektive entwickelt, die es erlaubt, zwischen der Grundschutz-Sicht und der 27001-Sicht hin zu her zu schalten.

Darüber hinaus ist es möglich kombiniert mit ISO 27001 und Maßnahmen der IT-Grundschutzkataloge zu arbeiten. Verinice bietet damit das Beste aus beiden Welten. Neu ist auch, dass man jetzt Dateien jeder Art (z.B. Bilder als Audit-Nachweis oder ISMS-Richtlinien) direkt in der verinice-Datenbank ablegen kann.

Sie können die neueste Version der Software auf den Verinice-Seiten herunterladen.

Lesen Sie mehr →
ψ² = Ps(i)²

Firefox Schwachstelle: Das BSI zieht nach

Oder wie Heise titelt: “Sicherheit nach Behördenart”. Die aktuelle Warnung des vom BSI betriebenen Bürger-CERTs, bis zum Erscheinen von Firefox 3.6.2 lieber “alternative Browser” einzusetzen, sei in vielerlei Hinsicht verunglückt. Zunächst wird bemängelt, dass dieser Ratschlag ziemlich spät käme: Firefox 3.6.2 wurde gestern veröffentlicht und die BSI-Warnung ist vom 18.03. Von der Schwachstelle selbst wurde aber bereits Mitte Februar berichtet. Naja, in der National Vulnerability Database hat die Schwachstelle auch erst seit dem 19.03. die offizielle Nummer CVE-2010-1028.

Weiterer Kritikpunkt: Die Umstiegsempfehlung lässt offen, “welchen “alternativen Browser” der verunsicherte Bürger denn nun verwenden soll.” Die Gefahr sei hoch, dass die Sicherheitsexperten vom Bürger-CERT den Bürger vom Regen direkt in die Traufe schicken würden. Was man dem BSI jedoch nicht vorwirft ist eine einseitige Parteinahme: Erst im Januar riet die Behörde noch von der Nutzung des Internet Explorer Abstand zu nehmen.

Der Heise Autor fragt sich, “wann das Bürger-CERT mit zufällig eingestreuten Proporz-Warnungen von Opera und Chrome abraten wird  – oder ob das BSI vielleicht sogar demnächst den monatlichen Browser-Wechsel als Sicherheitsfunktion propagiert.”

Lesen Sie mehr →
ψ² = Ps(i)²

Server-Virtualisierung führt zu weniger Sicherheit

Da passt ja wieder mal alles zusammen diese Woche. Heise Security titelt “Server-Virtualisierung führt zu weniger Sicherheit” und zitiert damit das Marktforschungsunternehmen Gartner, das für das Jahr 2012 prophezeit, dass etwa 60 Prozent der virtuellen Server  weniger sicher sein werden, als die Systeme, die sie ersetzen. Erst im Jahr 2015 soll diese Quote wieder auf 30 Prozent fallen. Gartners Bericht beschreibt die Möglichkeit, dass ein Angreifer über Sicherheitslücken in der Virtualisierungssoftware aus einer VM ausbrechen und den Hypervisor oder andere VMs auf dem selben Server erfolgreich attackieren könnte.

Passend dazu veröffentlichte Microsoft ein Security-Bulletin unter dem Titel “Schwachstelle in Virtual PC und Virtual Server ermöglicht erweiterte Zugriffsrechte” und Searchsecurity merkt an “Patch für Microsoft Virtual PC Schwachstelle unwahrscheinlich”. Laut Gartner hat Microsoft ja noch etwa bis 2015 Zeit…

Lesen Sie mehr →