Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

Bewerberinfos im Netz

Von Sebastian Klipper gepostet am 9. November 2010

“Jede zweite Firma späht Bewerber im Internet aus.” Das titelt heute die Welt Online – wenig sachlich – unter Berufung auf eine repräsentative Umfrage der Bitkom.

„Das Internet ist für Firmen eine wichtige zusätzliche Informationsquelle geworden, um sich ein Bild über einen potenziellen Mitarbeiter zu machen“, erklärte Bitkom-Präsident August-Wilhelm Scheer.

Überrascht es wirklich, wenn sich gleichzeitig immer mehr Bewerber im Netz präsentieren?

“Laut der Umfrage nutzen 45 Prozent aller Firmen Internet-Suchdienste wie Google, Bing oder spezielle Personensuchmaschinen wie Yasni, um zusätzliche Informationen über Bewerber zu finden. Ein Fünftel recherchiert demnach in sozialen Online-Netzwerken mit beruflichem Schwerpunkt wie Xing oder LinkedIn. 17 Prozent aller Unternehmen gaben zudem an, in vornehmlich privat genutzten Communities wie Facebook und StudiVZ nach interessanten Informationen zu stöbern.”

Warum muss man in diesem Zusammenhang von “ausspähen” sprechen, wenn Unternehmen auf frei Zugängliche Informationen zugreifen? Die Schlagzeile könnte ebenso heißen: “Verantwortungslos: Nicht einmal jede zweite Firma nutzt wenigstens gängige Suchmaschinen bei der Einschätzung ihrer Bewerber.”

Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

Mehr Infos zu den Java-Schwachstellen

Von Sebastian Klipper gepostet am 28. Oktober 2010

Am Montag hatte ich darüber geschrieben, dass Java den Adobe Reader als kritischste Anwendung abgelöst hat. Ich hatte dort auch den Oktober Patchday erwähnt, in dem mehrere kritische Schwachstellen gefixt wurden. Die gefixten Schwachstellen und die möglichen Angriffsszenarien wurden im Minded Security Blog in  drei Artikeln beschrieben.

Beim DNS-Rebinding geht es darum, dem Browser des Opfers einen falschen DNS-Server unterzuschieben um ihn unbemerkt zu manipulierten Inhalten zu locken. Wie das passiert hat Heise in einem Artikel erklärt, der dazu auch eine Grafik enthält (Klick auf kleine Abbildung). Bereits 2006 waren derartige Angriffe mit Java Applets veröffentlicht worden. Angreifer und Verteidiger liefern sich ja seit jeher ein nettes Katz-und-Maus-Spiel um Maßnahmen, Gegenmaßnahmen und Anti-Gegenmaßnahmen. So soll die Java Same Origin Policy einem Applet nur dann erlauben auf Objekte einer anderen Webseite zugreifen, wenn sie aus derselben Quelle stammt. Das soll Angreifern eigentlich das Leben schwer machen, was aber mit DNS-Rebinding ausgehebelt werden kann und nur zu mäßigen Erfolgen führt.

Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

Manuelles Einstellen von DEP, ASLR und Integrity Level

Von Sebastian Klipper gepostet am 26. Oktober 2010

Didier Stevens hatte bereits am 11.10. in einem Beitrag erklärt, wie man durch manuelle Einstellungen an den PDF-Programmen Adobe Reader, Foxit Reader und Sumatra PDF die Sicherheitsfunktionen DEP, ASLR und das Integrity Level einstellen kann und welche Auswirkungen das auf die Software hat. Am Samstag hat er die versprochenen Flags für die PE-Files nachgeliefert. Viel Spaß beim basteln…

Berichten Sie über diesen Beitrag via Twitter oder Xing. 1 Kommentar

“Das Problem sitzt vor dem Rechner”

Von Sebastian Klipper gepostet am 24. Oktober 2010

“Das Problem bei der Sicherheit sitzt ja oft vor dem Rechner”, sagt Jens Fromm, Senior Researcher am Fraunhofer-Institut für Offene Kommunikationssysteme in Berlin. Und er sagt es auf einer Pressekonferenz zum neuen Personalausweis. Einer der anwesenden Journalisten ist vom Spiegel und der schreibt:

“Vor ein paar Jahren hat die Große Koalition nun mal entschieden, dass diese Probleme alle einen elektronischen Ausweis bekommen sollen.”

Und nun wird das Ding durchgezogen, egal wie gut oder schlecht der Personalausweis geworden ist. Allein schon deshalb, weil die kostenlosen Lesegeräte, von denen selbst das Innenministerium aus Sicherheitsgründen abrät, aus dem Konjunkturpaket II finanziert werden. Wer wollte schon den Aufschwung gefährden? Im Internet sein Auto ummelden, ein Konto eröffnen, eine Versicherung abschließen oder seine Rente abfragen – all das wird bald im Browser möglich sein.

Fromm lässt während der Pressekonferenz seinen Vorführ-Ausweis auf dem Lesegerät liegen. Einer der Journalisten meldet sich:

“Bitte, tun Sie mir einen Gefallen, Herr Fromm. Mir dreht sich der Magen um, wenn ich das sehe. Nehmen Sie den Ausweis von dem Lesegerät herunter.”

Herr Fromm kommt der Aufforderung nach. Eigentlich lächerlich, wenn man bedenkt, dass ein Angreifer ein Skript für sich arbeiten lassen würde, dass bereits in wenigen Sekunden hunderte von Konten eröffnen kann.

Wie hatte Thorsten Schröder vom CCC gesagt:

“Wir wollen vor allem darauf hinwirken, daß die zum Teil absurde Augenwischerei der Verantwortlichen bezüglich der realen Risiken für den Benutzer ein Ende findet.”

Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

Adobe Reader ist nicht mehr auf Platz 1

Von Sebastian Klipper gepostet am 24. Oktober 2010

Wie Heise berichtet, habe die Zahl der Angriffsversuche auf Java-Lücken in den vergangenen Monaten dramatisch zugenommen. Dies gehe aus einem Bericht des des Microsoft Malware Protection Center (MMPC) hervor. Seit Mitte des Jahres seien drei ältere Java-Lücken das Ziel von rund sechs Millionen Angriffen gewesen. Damit hat der Adobe Reader in der Kategorie “häufigste angegriffene Anwendung” seinen ersten Platz klar verloren.

Als Grund für den Anstieg werde vermutet, das Java bei den Usern weniger präsent sei und damit auch seltener gepatcht werde. Möglicherweise hinge dies auch mit Adobes Bestrebungen zusammen, den Reader sicherer zu machen. Auch im Security-Blog “Krebs on Security” wurde dieser Trend beobachtet.

Wer sich jetzt sorgen um die Sicherheit seiner Java-Version macht, der kann auf den Seiten von Oracle die neuesten Updates finden, mit denen Oracle beim Oktober-Patchday insgesamt 29 Lücken in unterschiedlichen Versionen der Software geschlossen hat – 15 der Lücken sind mit einem CVSS-Base-Score von 10 bewertet worden.

Berichten Sie über diesen Beitrag via Twitter oder Xing. Kommentare sind deaktiviert

OWASP-AppSec-2010-Vorträge zum Download bereit

Von Sebastian Klipper gepostet am 22. Oktober 2010

Die Vorträge der diesjährigen OWASP-Konferenz von Mittwoch stehen nun zum Download bereit. Hier nochmal eine Übersicht über die Themen:

Keynote — Sebastian Klipper
Risikofaktor Mensch: Die Suche nach Kompetenz auf OSI-Layer 8

Tom Brennan
Current State of OWASP Adoption

Matthias Rohr
Der OWASP ASVS Standard

Sascha Herzog
XML-Security – Brief introduction in the use of web service In B2B environments and backend integration

Martin Knobloch
Developing Secure Applications with OWASP

Sebastian Schinzel
Seitenkanalschwachstellen im Web erkennen und verhindern

Dr. Dirk Wetter
OWASP Top 10, die Vierte: Was t/nun?

Frederik Weidemann
Härtung von SAP HTTP- und Webservices

Dr. Ingo Hanke und Daniel Bartschies
Sicherheit von Webanwendungen als Massnahme zum Schutz personenbezogenener Daten – ein Entwurf für TOP10 des Datenschutzes

Andreas Schmidt
WATOBO – Web Application Toolbox

Alexander Meisel
Distributed Web Application Firewall (dWAF) die Applikation als neuer Security Perimeter (auch in der Cloud)

Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

AET spaltet die Antivirenhersteller

Von Sebastian Klipper gepostet am 19. Oktober 2010

Stonesoft hat in Sachen Advanced Evasion Techniques (AET) nachgelegt (it-sa steht vor der Tür). Nachdem der Hersteller von Sicherheitssoftware am 04.10. mit einer Pressemitteilung die Diskussion um AET eingeläutet hatte, geht es nun also in die zweite Runde. Die eigentliche Botschaft:

“Den besten Schutz vor dynamischen und sich ständig weiterentwickelnden AETs bieten flexible, softwarebasierte Sicherheitssysteme mit zentralem Management und Remote-Update-Funktion.” ← Zitat aus der Pressemitteilung.

Stonesoft ist übrigens auch auf der it-sa zu sehen. Da kann man sich dann gleich mit “flexiblen, softwarebasierten Sicherheitssystemen mit zentralem Management und Remote-Update-Funktion” eindecken. Die Stand-Nummer wird netterweise in der Pressemitteilung mitgeliefert, da muss man als Leser nicht lange suchen, wenn man erst in Panik geraten ist.

Wenigstens hat die Tagespresse (WeltOnline, SpiegelOnline) nicht nur die Panikmache aufgegriffen, sondern auch die Skeptiker zu Wort kommen lassen. Dass Kassandra-Syndrom weitet sich also mittlerweile selbst auf die eigenen Branchenkollegen aus. Es fragt sich langsam, ob es sich noch um ein echtes Kassandra-Syndrom handelt – Kassandra hatte ja korrekte Warnungen auf Lager, denen keiner Gehör schenken wollte. Was ist, wenn die eine Kassandra etwas anderes prophezeit als die zweite? Mit dieser Frage lässt uns die griechische Mythologie leider alleine.

Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

BMI streitet Sicherheitsprobleme ab

Von Sebastian Klipper gepostet am 6. Oktober 2010

Wie mir gerade von einem Teilnehmer der Veranstaltung Public IT-Security (PITS) berichtet wird bleibt das BMI bei der Darstellung, dass zum Missbrauch des ePA dessen Besitz notwendig sei. Andreas Reisen, Leiter des Referats “Pass- und Ausweiswesen, Identifizierungssysteme” im Bundesministerium des Innern, habe sich auf der Veranstaltung diesbezüglich geäußert.

Ich hatte am 03.10. hier im Blog auf die Pressemitteilung des Chaos Computer Clubs hingewiesen, in der sich das alles etwas anders anhört: Thorsten Schröder äußert dort den folgenden Wunsch:

“Wir wollen vor allem darauf hinwirken, daß die zum Teil absurde Augenwischerei der Verantwortlichen bezüglich der realen Risiken für den Benutzer ein Ende findet.”

Das hat ja dann offensichtlich nicht geklappt. Weiter heißt es in der Pressemitteilung des CCC:

“Das Bundesinnenministerium hat im Rahmen des Großprojektes die einfachen Basis-Lesegeräte erworben, die per Schadsoftware abgeschnüffelt werden können. Eine Million dieser Geräte sollen in einem “Starterkit” an Ausweisbesitzer vergeben werden. Den Betroffenen wird damit eine potentielle Sicherheitslücke untergejubelt. Auch sozial schwache “Kunden” des ePA sind besonders betroffen. Diese werden sich die sicherere Variante der Lesegeräte nur schwerlich leisten können und werden zudem über die potentiellen Risiken gar nicht aufgeklärt. (…)

Auch wenn die Marketing-Abteilungen der profitierenden Unternehmen sowohl in der Schweiz als auch in Deutschland unisono die Sicherheit der Identitätskarten betonen, so beweisen die nun gezeigten Angriffe, daß man nicht einmal im physikalischen Besitz der SuisseID oder des elektronischen Personalausweises sein muß, um Schindluder zu treiben. Die offensichtlich falschen Vertrauensbilder sollten nicht noch von Ministern weiterverbreitet werden.

Das Ministerium und seine nachgeordneten Behörden sehen das ePA-Projekt naturgemäß anders: “Der Spagat zwischen Datenschutz und Bedienungskomfort ist gelungen”, schreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) über den elektronischen Personalausweis in seinem aktuellen Jahresbericht.

“Was die da rauchen, hätten wir auch gern mal”, kommentierte CCC-Sprecher Engling.

Wenig hilfreich antwortete Amtssprecher Matthias Gärtner:

“dass in Gebäuden der Bundesverwaltung – und somit auch im BSI – Rauchverbot besteht, so dass wir dem (…) Wunsch des Chaos Computer Clubs nicht entsprechen können.”

Und bei Ausweisen der Bundesverwaltung besteht ein Missbrauchsverbot, möchte man hinzufügen. Innenminister de Maiziére stellte in der “Tagesschau” fest:

“Irgendwelche Hacker mögen immer irgendwas hacken können, aber die Zuverlässigkeit und Sicherheit des neuen Personalausweises steht nicht in Frage.”

Das System kann gehackt werden, aber die Sicherheit des Systems steht außer Frage?!? De Maiziére streitet bar jeglicher Argumentationsgrundlage ab und das BSI hat noch Zeit für Witzchen. Als ich mir in Zürich den Vortrag von Max Moser und Thorsten Schröder angehört habe, fand ich das eigentlich nicht so lustig.

Berichten Sie über diesen Beitrag via Twitter oder Xing. 1 Kommentar

Information Security Risk Management geht in Druck

Von Sebastian Klipper gepostet am 5. Oktober 2010

Diese Woche ist es soweit: Mein zweites Buch “Information Security Risk Management – Risikomanagement mit ISO/IEC 27001, 27005 und 31010″ geht in die Produktion und kann damit pünktlich im November erscheinen. Wer möchte kann das Buch bereits jetzt vorbestellen. Das Buch enthält 34 Abbildungen, 10 Tabellen und 14 Fallbeispiele, die den Stoff anschaulich vermitteln. Über 60 QR-Codes machen das Buch in Verbindung mit einem Smartphone “Internet-fähig”. Das Cover wird so aussehen:

Was Sie erwartet:
Auf dem Weg zu einer Zertifizierung nach ISO/IEC 27001 muss jedes Unternehmen ein Risikomanagementsystem einführen. Hierzu gehört es, Risiken festzustellen und festzulegen, wie mit ihnen umgegangen werden soll. Nicht zuletzt geht es darum, eine leistungsfähige Risikokommunikation zu etablieren. Während sich ISO 27001 nur am Rande mit dieser für die ISO-Zertifizierung wichtigen Frage auseinandersetzt, ist ISO/IEC 27005 genau dafür ausgelegt. Dieses Buch erläutert den Standard, ordnet ihn in die ISO/IEC 27000 Familie ein und gibt Ihnen Tools und Frameworks an die Hand, mit denen Sie ein Risikomanagementsystem aufbauen.

Zusätzliche Funktionen für Smartphones:
Über 60 QR-Codes führen Sie mit Ihrem Smartphone direkt aus dem Buch ins Internet. So gelangen Sie ohne Tippen von der Buchseite aus auf die passende Webseite. An vielen Stellen werden sie direkt zu der richtigen Stelle im Anwenderforum zum Buch geleitet, wo Sie mit dem Autor und anderen Lesern und Anwendern der ISO/IEC 27000 Normenreihe Ihre Erfahrungen austauschen können. Auf diese Weise sind die Vorzüge von Buch und Internet jederzeit für Sie verfügbar.

Inhalt:
Einführung – Grundlagen – ISO/IEC 27005 – ISO/IEC 27005 und BSI IT-Grundschutz – Risiko-Assessments nach ISO/IEC 31010 – Risikokommunikation – Wirtschaftlichkeitsbetrachtung – Die 10 wichtigsten Tipps – Interessante Tools und Frameworks

Die Zielgruppen:
Risikomanager, IT- und Informationssicherheitsbeauftragte, CISOs, Auditoren, Unternehmensberater

Edition <kes>:
Wie bereits mein erstes Buch gehört auch dieses zur Edition <kes>. Die Buchreihe liefert das notwendige Know-how, fördert das Risikobewusstsein und hilft bei der Entwicklung und Umsetzung von Lösungen zur Sicherheit von IT-Systemen und ihrer Umgebung. Herausgeber der Reihe ist Peter Hohl. Er ist darüber hinaus Herausgeber der <kes>–Die Zeitschrift für Informations-Sicherheit (s.a. www.kes.info), die seit 1985 im SecuMedia Verlag erscheint. Die <kes> behandelt alle sicherheitsrelevanten Themen von Audits über Sicherheits-Policies bis hin zu Verschlüsselung und Zugangskontrolle. Außerdem liefert sie Informationen über neue Sicherheits-Hard- und -Software sowie die einschlägige Gesetzgebung zu Multimedia und Datenschutz.

Auswahl weiterer Bücher der Edition <kes>:
Konfliktmanagement für Sicherheitsprofis
Von Sebastian Klipper
Security Awareness
Von Michael Helisch und Dietmar Pokoyski
Mehr IT-Sicherheit durch Pen-Tests
Von Enno Rey, Michael Thumann und Dominick Baier
Der IT Security Manager
Von Heinrich Kersten und Gerhard Klett

Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

Sicherheitsprobleme bei elektronischen Ausweisen

Von Sebastian Klipper gepostet am 3. Oktober 2010

Weder bei SuisseID noch beim deutschen elektronischen Personalausweis wurden die Systeme bis zu Ende gedacht. Auf der security-zone in Zürich konnte ich mir den Vortrag von Max Moser und Thorsten Schröder selbst ansehen und mich von den Denkfehlern in den beiden Systemen überzeugen lassen. Es geht nicht in erster Linie um die Sicherheit der verwendeten Algorithmen oder der verwendeten Technik. Es ist der Prozess, der mit dem System abgebildet werden soll, der nur mäßig durchdacht ist. Das wundert mich nicht – machen Entwickler doch immer wieder den Fehler zu glauben, sie könnten mit Technik Sicherheitsprobleme lösen. Das Bruce Schneier Zitat ist ja eigentlich ein alter Hut:

“Wenn Sie denken, Technologie kann Ihre Sicherheitsprobleme lösen, dann verstehen Sie die Probleme nicht, und Sie verstehen die Technologie nicht.”

Gefühle 100 Mal wiederholte Max Moser gebetsmühlenartig, das es nicht um die Sicherheit der Technik ginge. Das Problem sei in erster Linie die fehlerhafte Annahme, dass verwendete Arbeitsplatz-Systeme sicher seien. Auch das keine große Neuigkeit.

Die CCC-Pressemitteilung zu den erheblichen Sicherheitsproblemen beider Systeme arbeitet das Thema ausführlich auf und liefert viele Hintergrundinformationen. CCC-Sprecher Dirk Engling kommentierte:

“Es geht hier nicht um theoretische Schwachstellen, es geht um praxisrelevantes systemisches Versagen.”

Auch Sicherheitsforscher Thorsten Schröder stellte klar:

“Wir wollen vor allem darauf hinwirken, daß die zum Teil absurde Augenwischerei der Verantwortlichen bezüglich der realen Risiken für den Benutzer ein Ende findet.”