Sicherheit

In einem Report (PDF) des U.S. DoD findet man folgende - doch recht amüsante - Anmerkung:

The primary process relied upon by the DoD for evaluation of the assurance of
commercial products today is the Common Criteria (CC) evaluation process. The
task force believes that Common Criteria is presently inadequate to raise
sufficiently the trustworthiness of software products for the DoD. This is
particularly true at Evaluation Assurance Level-4 (EAL4) and below, where
penetration testing is not performed. Nonetheless, Common Criteria evaluation is
an international program, well established, and not easy to change.

Es ist interessant zu sehen, dass einer der Haupt-Initiatoren der Common Criteria nun erkennt, dass diese nicht sehr nützlich ist - und was noch viel interessanter ist - nicht so einfach geändert werden kann, da diese nun im Standardisierung-Morast festsitzt.

Auf den Report hat übrigen's Oracle's CSO Mary Ann Davidson hingewiesen.

Da ich davon beim abendlichen Beercall erzählt bekam gehe ich davon aus, dass es schon alte News ist und sage dazu nichts weiter... naja außer vielleicht:

2ecki@calista:~> dpkg -l openssl
||/ Name                Version             Description
+++-===================-===================-======================================================
ii  openssl             0.9.7e-3sarge5      Secure Socket Layer (SSL) binary and related cryptogra

Digital Rights Management (DRM) ist eine Methode Abspiel- und Kopier Möglichkeiten von Medien einzuschränken. Inhaltsanbieter sagen sie können damit günstigere Preise machen indem die Rechte auf ein vom Kunden benötigtes Maximum eingeschränkt werden. Kunden hingegen fühlen sich dadurch insbesondere mehrfach abgezockt.

So oder so hat DRM große Probleme, weil dem Kunden (dem Käufer) einiges an Rechte weggenommen wird. Das kann dann so weit gehen, dass man gekaufte Songs nicht mehr abspielen kann, weil die DRM Server nicht erreichbar sind, oder keine Geräte mehr das Verfahren unterstützen.

Microsoft hat den DRM Skeptikern einst versucht mit Ihrer "Plays for Shure" Campagne zu entgegnen. Ironischer weise schaltet Microsoft diesen Dienst jetzt ab, was dazu führt dass man die gekauften Medien nicht mehr von einem Gerät zum anderen übertragen kann (sondern nur noch auf den 5 registrierten Geräten).

Wieder einmal zeigt sich, dass offene Formate eine sichere Zukunftsinvestition sind.

Via Kris.

Update: auch im Spiegel.

Wenn man bei Novell angibt den Username und das Passwort vergessen zu haben, so bekommt man einen Passwort Reminder, der neben dem Usernamen auch die Securityquestion enthält - und die Antwort (was soll das denn, da kann man ja gleich nen neues Passwort zusenden). Rotfl:

Das Thema Identity Management wurde besonders von den Herstellern entsprechender Lösungen immer wieder in die Fachpresse gebracht. Sicherheit ist auch ein sehr wichtiges Thema, und gerade die Innerbetrieblichen Abläufe lassen sich durch entsprechende Automatisierung nicht nur beschleunigen oder kostengünstiger machen, nein insbesondere auch die Sicherheit profitiert von einem durchdachten Ansatz.

Ein typisches Beispiel ist der HR Prozess bei dem ein Mitarbeiter das Unternehmen verlässt, oder dessen Zugriffsrechte kurzfristig zurückgezogen werden sollen. Je mehr Systeme an einer Synchronisation beteiligt sind, oder direkt auf die zentrale Benutzerverwaltung zugreifen, desto schneller und vollständiger ist dieser Prozess.

Aber wieder zurück zum Thema IM - ich habe den Eindruck das Risiko wird zwar verstanden, aber noch immer sind Tools in dem Umfeld "Nice-to-have", oder noch schlimmer: es werden strategische Entscheidungen "angedacht" und investiert, ein Großteil der Intranet Anwendungen bleibt aber außen vor.

Hier genau setzt jetzt ein Compliance und Risk Management an. Und wie allen bekannt ist, kann sich Niemand dem Thema entziehen. Spätestens mit der neuen EU Direktive zum EuroSOX (was für ein schreckliches Schlagwort) wird es hier einen Boom geben.

Entsprechend gibt es auch schon eine Analysten Meinung zu dem Thema, wie gerade bei CIO.de gefunden. Zugriffsrechte sollen hier vereinheitlicht werden (und dazu muß man natürlich Produkte kaufen).

Zufällig erhielt ich dieses Dokument, und da ich es noch nicht kannte dachte ich mir: na dann ist es eventuell generell noch nicht allzuweit bekannt. Der BITKOM Kompass der IT-Sicherheitsstandards ist unter Beteiligung des DIN entstanden, und enthält eine Auflistung und Bewertung der meisten Standards und Guidelines die im Bereich IT-Security relevant sind.

Das Dokument vom Juni 2006 könnte zwar eine Auffrischung vertragen, ist aber trotzdem sehr wertvoll. Zumal es von den Web Seiten des BITKOM Verbandes frei zu beziehen ist.

bitkom.de/de/publikationen/38337_40496

BITKOM hat übrigens eine ganze Reihe von Sinnvollen Wegweisern und Guidelines, das bezieht sich nicht nur auf das Thema IT-Sicherheit.

Das Versenden von großen Dateien ist entweder schwierig oder gar nicht möglich. E-Mail Anhänge sind in der Größe Limitiert, nicht alle Kunden haben Zugriff auf FTP, und das Betreiben eines eigenen Servers kostet Zeit und Geld.

Ich kenne das aus meiner eigenen Praxis, da sollen schon mal schnell CD-Images, Patches oder Druckvorlagen übertragen werden, und man muss immer mit sftp Servern hantieren. Es muss hier also eine Lösung her.

Dies hat sich auch die Skalio gedacht und bietet einen Hosted Service an: TeamBeam. Zahlende Kunden erhalten einen einfachen Upload Client mit dem Dateien auf den TeamBeam Server geladen werden können, und der Endkunde erhält eine Mail, die ein HTTP Download Link enthält. Großkunden können die Server sogar selbst betreiben und Customizing Dienstleistungen von Skalio erwerben.

Skalio glaubt an die Macht der Blogs, so habe ich einen Test Zugang erhalten, mit der Bitte den Service zu reviewen. Das will ich gerne tun:


Eine gute Idee

Positiv finde ich den Server Ansatz und die Tatsache dass der Empfänger der Files keine spezielle Software außer einem Browser benötigt. Der Einsatz von HTTP ist zudem kompatibel mit den meisten Firmen-Policies. SSL bietet einen halbwegs vernünftigen Schutz der übertragenen Daten. (Der Empfänger erhält eine längere URL dadurch ist gewährleistet, dass Unbefugte die Datei ohne Zugriff auf die unverschlüsselte E-Mail nicht finden können).


Einfache Software

Negativ finde ich den Java Upload Client. Dieser bietet in der Version 1.0 nicht die Funktionen die man von einer Software für die Übertragung von Großen Files erwarten würde:

Übertragungen werden nach einem Abbruch nicht erneut probiert, man muß diese noch einmal anstoßen. Startet man die Übertragung manuell erneut an, so wird diese anscheinend immer vom Anfang an begonnen, also keine Restart Funktion (der Empfänger kann immerhin einen Restartfähigen HTTP Client Download nutzen, da der Server den Range Header unterstützt).

Wenn man mehrere Sendeaufträge parallel anstoßen möchte, so werden diese nicht in einer einzigen Upload Queue zusammengefasst, man kann also keine Parameter für maximale Parallelität, Bandbreite oder Prios vorgeben. Auch lassen sich einzelne Übertragungen nicht pausieren.

Die Gui des Upload Clients ist simpel zu bedienen, die Buttons zum Browsen und der Pflege des "Addressbuchs" sind aber Gewöhnungssache.


Sicherheitsschwächen

Die Übertragungssicherheit bei Team Beam basiert ausschließlich auf SSL. Leider überprüft der TeamBeam Client das SSL Server Zertifikat nicht. So war es mit problemlos möglich einen eigenen SSL Proxy dazwischenzumogeln und die Komplette Übertragung mitzuschneiden. Dies ist leider ein massives Sicherheitsproblem, dürfte aber einfach zu beheben sein. Schwerwiegender ist die Tatsache dass die Download URLs in unverschlüsselten E-Mails versendet werden. Man sollte also die Daten selbst verschlüsseln (und dabei auch gleich eine elektronische Unterschrift anbringen).

Im WebDAV Verzeichnis kann man an den Userids (ich hatte die Nummer 240) ablesen, dass bisher noch wenige Kunden aktiv sind (45 Postfächer mit wartenden Dateien). Auch hier kann Skalio noch für etwas mehr Privatsphäre sorgen (im eigenen Interesse).

Fazit

Jeder sollte selbst die Rechnung machen, ob er Open Source Tools und einen Root Server einsetzen möchte, oder lieber die Services von TeamBeam (z.B. 250Eur/Monat für 100 User) nutzen möchte. Für die Datensicherheit sollte man bei sensitiven Daten zusätzlich selbst sorgen. Die Funktionalität wie Erinnerungen, Lesebestätigungen und das Portal zur Verwaltung der Aufträge sind eine bequeme Sache (ich weiss nicht ob es hier schon Open Source Lösungen gibt).

Neue Features wie z.B. die Weiterleitung von bereits auf dem Server befindlichen Dateien (im Portal) an neue Empfänger sind bereits angekündigt.

Wie das Administrationsinterface für Firmenkunden aussieht (dort müssen die E-Mail Addressen der Mitarbeiter gepflegt werden) konnte ich in meinem Test nicht prüfen. Ich denke aber dass größere Kunden hier noch auf die Entwicklung Einfluss nehmen könnten.

Update: ich habe den Artikel nach Feedback von Skalio etwas angepasst: Die Sicherheitsprobleme werden behoben, die Anzahl der Verzeichnisse im WebDAV spiegelt nicht die Anzahl der Kunden wieder und das Prinzipiellle Problem mit der E-Mail Sicherheit soll durch optionale Logins beim Download gelöst werden - für Skalio Kunden die ein my.teambeam.de Login haben.

Update2: heute erhalte ich die Information von Skalio, dass eine neue Version 1.0.1 des TeamBeam Clients verfügbar ist, das mit einer SSL Zertifikatsprüfung daherkommt. Ebenso wurde eine XSS Schwäche beseitigt und die Zugriffsmöglichkeiten auf das WebDAV Verzeichnis sind nun eingeschränkt. Damit wurden die von Bloggern berichteten Schwächen recht zügig behoben.

(Das Problem der unverschlüsselten Datenhaltung auf dem Salio Server und den ungeschützten Download Links besteht natürlich weiterhin, aber ist in der Einfachheit des Produktes bedingt)

Martin Seiler bringt es in CW-Notizblog auf den Punkt: es gibt keine guten Phisching Angriffe und die Anbieter von Sicherheitslösungen greifen nach jedem Strohhalm um Ihre Existenz zu rechtfertigen.

Microsoft veröffentlicht Statistiken über die Erfolgsquote ihres Mini-Malware Scanners der mit den Windows Updates verteilt wird. In deinem Heise Artikel finden sich die Statisitiken in der Übersetzung:

Seit seinem Erscheinen am 13. Januar 2005 bis einschließlich März dieses Jahres wurde das Tool 2,7 Milliarden Mal auf mindestens 270 Millionen unterschiedlichen Rechnern ausgeführt. Dabei fielen 5,7 Millionen Rechner durch eine Infektion auf; von diesen waren mehr als 60 Prozent mit einer Backdoor verseucht, die den Rechner zur hörigen Drohne umfunktioniert,

Trotz der niedrigen Quote (0,3%) halte ich die Durchseuchung für sehr bedenklich, zumal die Dunkelzifer deutlich größer sein dürfte (das Tool findet nur eine Auswahl von Malware und wird auch nur auf Rechner ausgeführt die Windows Update aktiviert haben (also aktuell sind!)

Die Masse macht es hier. Angreifer können beachtliche Zombie Netze ansammeln für DDOS Angriffe oder Spam Auslieferung (Mail oder Web). Die Tatsache dass Microsoft so offen mit den doch recht erschreckenden Zahlen umgeht könnte daran liegen, dass das Anti Malware Team das Tool als erfolgreich sieht und vergisst, dass das Problem hausgemacht ist. Monokultur eben...

Im Gesundheitsbereich ist für IT Software Hersteller und Dienstleister weltweit ein lukrativer Markt vorhanden. Trotz knappen Budgets - wie kann das sein? Nun das liegt zum Großteil an der Gesetzgebung und behördlichen Auflagen. Großangelegte Programme der Regierungen wie HIPAA/HL7 in den USA oder diverse Europäische Verordnungen und Deutsche ("Modernisierungs")-Gesetze haben zu einer komplexen Landschaft geführt. Behörden, Leistungserbringer, Dienste und Clearingstellen müssen aus einem sehr kleinen Angebot von hochpreisigen und altertümlichen Lösungen das richtige Produkt finden.

Dabei kann man weder den Lösungsanbietern böse sein (da die ein riessigen Aufwand treiben müssen um die Regulierungen zu verstehen) wenn sie Ihre Marktposition ausnutzen, noch kann man die Regulation per-se verteufeln. Denn Arzneimittelsicherheit, Rohstoffüberwachung, Pharma-Zulassungsverfahren, Geräteüberwachungen oder auch nur Datenaustausch-Vereinheitlichung sind ja durchaus Bereiche in denen Vorgaben sinnvoll und notwendig sind. Immerhin geht es hier um Menschenleben. Und ganz nebenbei auch um riesige Goldtöpfe die es zwischen den Interessengruppen aufzuteilen gilt. Allen vorweg(?) an die "Leistungsbezieher".

Bei InformIT gibt es einen Artikel von John Tränkenschuh über die Sicherheitsprobleme die man sich mit SSH einfangen kann:

SSH Issues: Does Installing SSH Enable More Exploits Than it Solves? (26. Mai)

Natürlich ist ein verschlüsselter Shell Zugang auf jeden Fall vorzuziehen, aber es gibt eine ganz erschreckende Anzahl von Fehlern und Fallen die unbedarfte Administratoren beim SSH Einsatz machen, so dass es durchaus schon fast zu einem "würdigen" rsh nachfolger (was die Unsicherheit angeht) geworden ist.

Ein Must Read für Nachwuchsadministratoren, die alten Hasen wollen den Link unbedingt abspeichern zum weitergeben.

Das Online Magazin (IN)SECURE 1.6 ist erschienen. Die Ausgabe steht als PDF zum freien Download bereit. Einer der Leitartikel beschäftigt sich mit Enterprise Datenbanken. Best Practise Tipps aus der "Praxis":

http://www.insecuremag.com/

Ulf Mattson schreibt darin wie die Vertraulichkeit und Integrität von Enterprise Datenbanken sichergestellt werden können. Ich persönliche halte den Artikel etwas missglückt, da die üblichen Verfahren etwas kurt kommen, und dem Thema Verschlüsselung und externe Schutzsysteme zu viel Bedeutung zugemessen wird. Das dürfe wohl darin begründet sein dass Mattson der CTO von Protegrity ist. Dieses Unternehmen verkauft Software Lösungen für diese Aufgaben.

In weiteren Artikeln findet man Informationen über Security Zertifizierungen, die Kosten von Spyware in Unternehmen, Buch Reviews oder News über Security Produkte und drei Beiträge über Web Sicherheit: Authentifizierte Sessions und PHP/SQL Sicherheit. und Apache Deny of Service Absicherung.

Desweiteren gibt es ein Interview mit Prof. Kenny Paterson (Information Security Group, Royal Holloway, University of London) und einen Artikel über den Einsatz von Metriken mit der Open Source Security Testing Methodology (OSSTM) und einen Bericht über War Driving auf der CeBIT 2006.

Weil ich nebenbei dran bin das Thema IT-Sicherheit im Software Entwicklungsprozess aufzubereiten, hier eine Liste von möglichen Motivationspunkten. Wovor soll geschützt werden...

• Das Image eines Software Unternehmens ist sehr wichtig. Vertrauen in die Beständigkeit und Leistungsfähigkeit des Softwarehauses ist eines der wichtige Auswahlkriterien bei der Beschaffung von Software..
• Zumindest in Deutschland kann sich ein Unternehmen nicht aus der Produkthaftung befreien. Auch bei Auftragsarbeit besteht das Risiko von Regressansprüchen
• Für bestimmte Einsatzbereich fordern Kunden Explizit Audits und Zertifizierungen des Entwicklungsprozesses. In bestimmten Bereichen wird dies auch durch Gesetzgeber oder Verwaltung gefordert. Compliance ist ein wichtiges neues Thema.
• Software Unternehmen sind der Prototyp eines IT-lastigen Unternehmens. Entsprechend wichtig ist ein Securitymanagement in diesem Bereich.
• Die IT gilt zwar gemeinhin als Rationalisierungsmittel, Software Hersteller und Beratungshäuser sind aber extrem personalintensive Dienstleistungsunternehmen. Der Faktor Mensch im Prozess bringt aber einige Probleme mit sich. Von personenbezogenen Daten über irrationales Verhalten (und der Herausforderung der Führung) bis hin zu den unvermeidlichen Fehlern.
• Unternehmen mit hohem Anteil an F&E stehen unter verstärkter Wettbewerbsbeobachtung bis hin zur Industriespionage. Der Schutz von Intellectual Property wird oft als wichtiger Überlebensfaktor angesehen. Mit den drohenden Softwarepatenten wird diese Situation nur schlimmer.
• Der Trend zur Software aus dem Regal (COTS) existiert auch in sicherheitskritischen Bereichen. Als Softwarehersteller kann man sich hier schnell in der Verantwortung finden. Menschenleben oder Menschenrechte können von der ordnungsgemäßen Funktion der Software abhängen.

Diese Gründe sprechen dafür der IT-Sicherheit im Entwicklungsprozess und im fertigen Produkt verstärkte Aufmerksamkeit zukommen zu lassen. Es gibt allerdings auch Herausforderungen zu meistern sind:

Man könnte es als Respektlosigkeit sehen, was das Internet Storm Center über den NSA zu lästern hat. Aber bei genauer Betrachtung dürfte schnell klar werden worum es bei den ganzen Anti-Cyber-Terrorismus und Homeland Security eigentlich geht: für die Politik ist einfachste Technik so geheimnisvoll wie Magie, und jeder der ein paar freie und kommerzieller Tools installieren kann hat Zugriff auf unbeschränkte Budgets und Rechte. Es muss nur über-cool aussehen.

Super-secret spy agency sensor grid - $Billions Security for a visit from the President of the United States - $Millions Showing the President that your prime source of information is a bunch of volunteers - PRICELESS!

Ach ja, die nette Grafik (Vorsicht Java) im Hintergrund ist Priceless, genauso wie die Daten der weltweit verteilten Sonden (DShield.org).

wie immer: mit der Angst kann man gut Geld verdienen, aber in der IT auch noch besonders billig.

via Ende der Vernunft

Die Wahl ist zwar größtenteils vorbei, dennoch gibt es weitere Analysen der Wahlprogramme und einen Ausblich auf zukünftige Entwicklungen. c't 20/2005 enthält einen Verweis auf einen älteren Artikel über die geplanten Gesetzgebungen der Bundestagsfraktionen.